Guerre di Rete - Dal Bybit hack al Fort Knox digitale
Una live sull’ottovolante delle crypto. Poi Musk e i lavoratori italiani. AI e nucleare. VPN e geopolitica.
Guerre di Rete - una newsletter di notizie cyber
di Carola Frediani
N.202 - 16 marzo 2025
ANNUNCI E NOVITA’: dal 2025 abbiamo creato anche una sottosezione della newsletter, Articoli di Guerre di Rete, che lancia gli articoli pubblicati sul sito (in genere uno a settimana). Per iscriversi alla sezione bisogna prima essere iscritti alla newsletter Guerre di Rete (col bottone qua sotto).
L’iscrizione alla newsletter non iscrive automaticamente alla sezione Articoli, perché non vogliamo caricare gli iscritti di email non volute. Dunque se volete iscrivervi ANCHE alla sezione Articoli dovete andare sul vostro profilo Substack (in alto a destra), cliccare su Settings o Impostazioni, andare sulle newsletter cui siete iscritti, cliccare su Guerre di Rete e attivare le notifiche anche per la sezione Articoli.
Cosa è e come funziona la newsletter Guerre di Rete
Specie per i nuovi, ricordo che questa newsletter (che oggi conta più di 14mila iscritti - ma molti più lettori, essendo pubblicata anche online) è gratuita e del tutto indipendente, non ha mai accettato sponsor o pubblicità, e viene fatta nel mio tempo libero. Se vi piace potete contribuire inoltrandola a possibili interessati, o promuovendola sui social. Molti lettori sono diventati sostenitori facendo una donazione.
Il progetto Guerre di Rete
In più, il progetto si è ingrandito con un sito indipendente e noprofit di informazione cyber, GuerrediRete.it. Qui spieghiamo il progetto. Qui l’editoriale di lancio del sito
Qui una lista con link dei nostri progetti per avere un colpo d’occhio di quello che facciamo.
→ Nel 2024 si è aggiunta Digital Conflicts, una newsletter bimensile in inglese (fatta da me e Andrea Signorelli), che per ora sarà principalmente una trasposizione della newsletter italiana, con alcune aggiunte e modifiche pensate per un pubblico internazionale (e con particolare attenzione all’Europa).
Qui leggete il primo numero.
Qui per iscriversi..
Qui invece potete scaricare gratis il primo ebook di Guerre di Rete che si intitola Generazione AI ed è dedicato agli ultimi sviluppi dell’intelligenza artificiale (uscito a settembre 2023).
Qui potete scaricare gratis il secondo ebook pubblicato, Il fronte cyber.
In questo numero:
Dal Bybit hack al Fort Knox digitale: la nostra diretta martedì sera
Bybit hack: la corsa a tracciare i soldi e il cybercrime nordcoreano
La falce di Musk si è inceppata ad Aviano
La corsa al nucleare di ChatGPT e gli altri
Geopolitica delle VPN
Cavi sottomarini vulnerabili
E altro
LA NOSTRA LIVE
Martedì 18 Marzo, alle 21, collegatevi con noi per seguire la nostra diretta in cui parleremo del Bybit hack, il più grande furto di criptovalute della storia da parte di uno dei gruppi cybercriminali più pericolosi (che si ritiene faccia cassa per la Corea del Nord). Ma parleremo anche delle nuove politiche crypto dell’era Trump. Qui il link per la live. Raccoglieremo anche le domande.
HACKING
Bybit hack: la corsa a tracciare i soldi e il cybercrime nordcoreano
In questi tempi in cui si parla tanto di riarmo, e di come finanziarlo, c’è almeno un Paese che da anni sta parzialmente alimentando il suo programma di missili balistici a botte di rapine informatiche: la Corea del Nord.
Il famigerato gruppo Lazarus, uno dei più noti attori malevoli internazionali da tempo associati al regime di Pyongyang da parte di governi e società di cybersicurezza, è tornato nel mirino di esperti di tracciamento di criptovalute e dell’FBI dopo l’attacco informatico del 21 febbraio che ha avuto come vittima finale Bybit, tra i più grandi exchange di criptovalute. Un attacco che si è concretizzato in un furto record di 1,5 miliardi di dollari in asset digitali. E che ha dato vita a una corsa contro il tempo per cercare di recuperare almeno una parte dei soldi, malgrado i depistaggi messi in atto dai cybercriminali.
La dinamica dell’attacco
In sintesi estrema e semplificata, la dinamica è la seguente: il 21 febbraio gli aggressori hanno compromesso il processo di approvazione dietro al trasferimento di fondi da un portafoglio all’altro (da un cold wallet a un hot wallet). Ci sono riusciti perché i gestori di Bybit hanno approvato una transazione che sembrava legittima, ma che in realtà era stata alterata in maniera subdola. Così facendo hanno sottratto 1,5 miliardi di dollari in ether nel più grande cyber furto mai avvenuto a una piattaforma di cambio. Un cold wallet è un portafoglio offline dove si depositano fondi, considerato più sicuro proprio perché disconnesso e usato per custodire buona parte degli asset. Tuttavia per funzionare un exchange deve periodicamente far passare dei soldi dal cold wallet a un hot wallet, che è invece un portafoglio connesso a internet. E proprio durante un trasferimento di routine da un cold a un hot wallet Ethereum, Bybit ha inconsapevolmente firmato (e quindi autorizzato) una transazione malevola, consentendo ai cybercriminali di spostare circa 401.000 ETH - valutati quasi 1,5 miliardi di dollari al momento dell’hack - verso indirizzi sotto il loro controllo.
Bybit utilizzava per queste attività una soluzione di wallet multi-firma (multisig) di Safe{Wallet}, in cui più di una persona era coinvolta nell’autorizzazione della transazione. Ma gli attaccanti sono riusciti a compromettere un computer di uno sviluppatore di Safe{Wallet}, introducendo modifiche malevole al codice per la visualizzazione delle pagine dell'applicazione web. In pratica è stata modificata l'interfaccia utente di Safe utilizzata specificamente per le transazioni Bybit per far sembrare che le persone autorizzate al trasferimento stessero firmando una transazione legittima.
La dispersione degli asset
Una volta sottratti, i fondi sono stati dirottati su una serie di indirizzi intermediari per disperderli e convertiti in altre criptovalute. Questa dispersione, nota come “chain hopping”, è una tattica comune utilizzata per nascondere le tracce e ostacolare gli sforzi di tracciamento da parte degli analisti della blockchain (dato che, come noto, le transazioni sulla blockchain sono visibili a chiunque). I cybercriminali hanno anche utilizzato vari strumenti per offuscare la loro attività, passando per exchange decentralizzati (DEX) che permettono scambi senza intermediari, cross-chain bridges (tecnologie che consentono di movimentare asset e informazioni fra blockchain diverse) e servizi di scambio istantaneo per spostare gli asset rubati tra diverse reti.
Le accuse alla Corea del Nord
Ad accusare nero su bianco la Corea del Nord è in primis l’FBI, che è uscita con un annuncio pubblico (li chiama TraderTraitor, ma si sovrappongono al gruppo Lazarus. In realtà il termine gruppo Lazarus tende a inglobare diverse unità nordcoreane di hacking). E poiché gli attaccanti “stanno procedendo rapidamente e hanno convertito alcuni degli asset rubati in bitcoin e altri asset virtuali dispersi in migliaia di indirizzi su più blockchain”, per poi essere ulteriormente riciclati e infine convertiti in valuta fiat, sempre l’FBI esorta le entità del settore privato, gli exchange, i bridge, i servizi DeFi ecc a bloccare le transazioni con o derivate dagli indirizzi usati dagli attaccanti (che ha messo a disposizione).
Ancora prima dell’FBI era stata la società di analisi della blockchain Elliptic (ma anche altri analisti) ad attribuire il colpo alla Corea del Nord. Un’attribuzione che si basa su “vari fattori, tra cui la nostra analisi del riciclaggio dei cryptoasset rubati. Gli attori malevoli legati alla Corea del Nord hanno rubato oltre 6 miliardi di dollari in criptoasset dal 2017, con i proventi che sarebbero stati spesi per il programma di missili balistici del Paese”, scrive la società sul suo blog.
Il tracciamento dei fondi
Secondo BBC, che riportava informazioni da Bybit e la già citata Elliptic, il 20 per cento dei fondi sottratti sarebbe già divenuto irrecuperabile, sparito, ”gone dark”. E questo malgrado Bybit abbia iniziato “una guerra a Lazarus” (per usare le parole dell’ad Ben Zhou) e abbia lanciato un programma chiamato Lazarus Bounty per incentivare addetti ai lavori a tracciare i fondi rubati e a congelarli, se possibile. “Finora 20 persone si sono spartite più di 4 milioni di dollari di ricompensa per essere riuscite a identificare 40 milioni di dollari di denaro rubato e per aver avvisato le società di criptovaluta di bloccare i trasferimenti”, scrive ancora BBC.
Ma non tutte le società di criptovaluta sono disposte ad aiutare. ByBit ha accusato l’exchange eXch di non essere stato collaborativo. “La maggior parte degli Ether rubati è stata convertita in bitcoin utilizzando eXch e altri servizi”, scrive anche Elliptic. “Come per altri furti legati alla Corea del Nord, questi bitcoin hanno iniziato a passare attraverso dei mixer (servizi che rimescolano cripto di diversi utenti per confondere la loro provenienza, ndr), per offuscare ulteriormente la traccia delle transazioni. Questo processo è appena iniziato, ma già beni rubati del valore di centinaia di migliaia di dollari sono stati inviati attraverso Cryptomixer e Wasabi Wallet”.
Nel frattempo le autorità di regolamentazione europee in materia di criptovalute stanno esaminando l'uso da parte dei cybercriminali di un servizio offerto dall’exchange OKX per riciclare i proventi del furto, riferisce Bloomberg.
Il cursus honorum del gruppo Lazarus
Al gruppo Lazarus, che opera da oltre 10 anni, sono attribuiti alcuni degli incidenti informatici più famigerati, che hanno fatto la storia del cybercrimine. Dal Sony Hack del 2014 alla diffusione del ransomware Wannacry del 2017. Senza dimenticare come nel 2016 riuscirono a trafugare 80 milioni di dollari alla banca del Bangladesh. Tuttavia negli ultimi anni si sono concentrati sempre di più sul mondo delle criptovalute.
Sebbene le tattiche tecniche e procedure (TTPs) adottate dal gruppo siano molto studiate, così come le modalità di trasferimento dei soldi trafugati, la parte di riciclaggio del denaro vero e proprio, di cash out, e la rete di eventuali appoggi internazionali restano ancora molto nell’ombra. A volte ci sono degli eventi che illuminano parzialmente un angolo del contesto in cui si colloca questo attore malevolo (traduzione di threat actor).
Ad esempio, alcuni giorni fa l'Unione Europea ha adottato un nuovo pacchetto di sanzioni contro la Russia, che prende di mira individui accusati di essere coinvolti in operazioni di cyberwarfare e di disinformazione contro l'Ucraina. Tra le persone sanzionate c'è però anche un nordcoreano, Lee Chang Ho, identificato come il capo del Reconnaissance General Bureau (RGB) della Corea del Nord, l'agenzia di intelligence del Paese sotto la quale ricadono anche le operazioni informatiche, che includono spionaggio, attacchi distruttivi e crimini finanziari. Lee (già sanzionato da Corea del Sud e dagli Stati Uniti) sarebbe coinvolto nel dispiegamento di personale nordcoreano a sostegno della guerra della Russia contro l'Ucraina e avrebbe supervisionato le unità di cyberattacco, tra cui quella nota come gruppo Lazarus.
Invece lo scorso aprile la polizia argentina aveva arrestato un giovane russo residente a Buenos Aires che dal suo appartamento riciclava i proventi del gruppo Lazarus (e di altre attività criminali). La pista argentina aveva seguito i soldi rubati nel colpo al bridge Horizon di Harmony.
Insomma, malgrado i tanti anni di attività il cosiddetto gruppo Lazarus (che ripeto è ormai un termine ombrello che riconduce una serie di unità e attività di hacking alla Corea del Nord) resta ancora un soggetto tanto pericoloso quanto misterioso (e questo malgrado in passato ci siano state anche alcune incriminazioni da parte degli Usa verso specifici individui, che però restano irraggiungibili).
Ne parleremo più in dettaglio (insieme alla parte sulle policy tech e crypto di Trump) nella nostra live di martedì sera.
Per i più tecnici (in inglese):
Safe{Wallet} Statement on Targeted Attack on Bybit - Safe
Leveraging Transparency for Collaboration in the Wake of Record-Breaking Bybit Theft - Chainalysis
The largest theft in history - following the money trail from the Bybit Hack - Elliptic
In-Depth Technical Analysis of the Bybit Hack - NCC
IMPERO E PERIFERIE
La falce di Musk si è inceppata ad Aviano
Il dipartimento gestito da Musk ha inviato anche ai dipendenti italiani della base di Aviano le sue famigerate mail in cui si ordina di elencare il lavoro svolto nell’ultima settimana con l’obiettivo di aprire la strada a tagli indiscriminati. Ma questa volta ha trovato pane per i suoi denti.
“Nella casella mail dei dipendenti (anche italiani) della base Usaf di Aviano è arrivata nuovamente la “famosa” lettera del dipartimento di Elon Musk. È quella con cui si chiede ai lavoratori di elencare - in cinque punti - la propria attività dell’ultima settimana”, scrive il Gazzettino. Che specifica come il tono della mail fosse perentorio e che tutti fossero tenuti a rispondere. Ma i sindacati e i lavoratori fanno muro e si dicono pronti allo sciopero.
Questa è una delle storie più belle della settimana, e il resoconto del New York Times è anche molto gustoso (sebbene metta un po’ troppo l’accento sulle protezioni dei lavoratori italiani invece che sottolineare il rispetto della legge).
Intanto le segreterie nazionali dei sindacati hanno anche inviato una lettera congiunta al Viminale e dell’Ambasciata Usa a Roma, ribadendo come le lavoratrici e i lavoratori civili italiani impiegati nelle basi americane siano soggetti esclusivamente alla legislazione italiana e al contratto nazionale.
“Qualsiasi tentativo di imporre regole unilaterali è inaccettabile e privo di qualsiasi fondamento giuridico» dichiarano le due federazioni, sottolineando che «la richiesta del Dipartimento appare non solo immotivata ma anche destituita da qualsivoglia fondamento giuridico poiché il personale è tenuto a svolgere la propria attività lavorativa in conformità con le mansioni afferenti all’inquadramento contrattuale in cambio della retribuzione», scrive ancora il Gazzettino.
AI E NUCLEARE
La corsa al nucleare di ChatGPT e gli altri
Microsoft, Amazon, Google, OpenAI stanno guardando al nucleare per sostenere gli alti costi energetici dell’AI. Su cui però c’è ancora poca trasparenza. Ne scrive Chiara Crescenzi sul sito Guerredirete.it.
Microsoft punta sulla riapertura di Three Mile Island. Amazon ha siglato un accordo per la costruzione di un data center accanto all’impianto nucleare di Talen Energy in Pennsylvania. Google ha firmato “il primo accordo aziendale al mondo per l’acquisto di energia nucleare prodotta da alcuni piccoli reattori modulari (SMR) che saranno sviluppati da Kairos Power”. E si muove anche OpenAI.
Leggi tutto qua.
RETE
La complessa geopolitica delle VPN
Le tensioni geopolitiche e il desiderio di controllo sulla Rete fanno delle VPN il primo e più facile bersaglio dei governi.
“Sembra proprio che le VPN non piacciano alle autorità e il loro atteggiamento lo dimostra. Si va dal divieto assoluto del loro utilizzo in paesi come Bielorussia, Corea del Nord, Iraq e Turkmenistan, passando a forme di controllo più o meno stringenti come quelle previste in Bahrein, Cina, Kazakistan, India, Iran, Oman, Qatar, Russia e Tajikistan. Anche dove le VPN non sono proibite esplicitamente o il loro uso non è sottoposto a controlli rigorosi, le reti private virtuali vengono generalmente viste con un certo sospetto e il loro utilizzo viene osteggiato in vari modi. E non sono mancati problemi anche in Paesi democratici. Le ragioni affondano in un puzzle complesso in cui si intrecciano censura, sorveglianza di massa, interessi commerciali e gigantesche contraddizioni. E a peggiorare la situazione ci si mette anche la balcanizzazione di internet, un fenomeno analizzato da diversi anni che indica la creazione di blocchi geopolitici anche per quanto riguarda la rete e rischia di portare a una sua limitazione sempre più stringente”.
Un articolo di Marco Schiaffino sul sito Guerre di Rete.
RETE
Cavi sottomarini, crescono sospetti e monitoraggio (anche in Italia)
La rilevanza strategica dei cavi per le telecomunicazione sta alimentando le tensioni internazionali, tra sabotaggi, progetti di difesa e una rete che continua a espandersi in tutto il mondo.
Un articolo di Laura Carrer per Guerre di Rete
APPROFONDIMENTI ED EVENTI
SATELLITI
Starlink, l'internet satellitare di Musk, rischia di diventare la kryptonite del governo Meloni
Tanto che i rapporti con il servizio di SpaceX sono stati ridimensionati. Perché è chiaro che, al netto della fretta, non è l'unica strada che l'Italia deve imboccare per dotarsi di telecomunicazioni spaziali.
Luza Zorloni su Wired.it.
MUSK
Il crollo di Tesla e l’impero di Musk che potrebbe cominciare a vacillare, scrive
Valigia Blu
AI
L'AI è meglio intesa come una nuova forma di agency (un agente in grado di interagire con l’ambiente) senza intelligenza, scrive il professore Luciano Floridi.
“Riconcettualizzare l'AI come Artificial Agency evita le fallacie biologiche e antropomorfiche, migliora la nostra comprensione delle caratteristiche distintive dell'AI e fornisce una base più solida per affrontare le sfide e le opportunità poste dalle tecnologie dell'AI, nonché il loro sviluppo futuro e l'impatto sulla società”.
Qui il paper.
GARR
La prossima Conferenza Garr 2025 parlerà del rapporto tra infrastrutture e frontiere digitali, in un contesto in cui le sfide tecnologiche hanno impatti sociali, economici e geopolitici. Insomma, molto Guerre di Rete.
—> INFO SU GUERRE DI RETE
Guerre di Rete è un progetto di informazione sul punto di convergenza e di scontro tra cybersicurezza, sorveglianza, privacy, censura online, intelligenza artificiale, diritti umani, politica e lavoro. Nato nel 2018 come newsletter settimanale, oggi conta oltre 14.000 iscritti e da marzo 2022 ha aggiunto il sito GuerreDiRete.it.
Nell’editoriale di lancio del sito avevamo scritto dell’urgenza di fare informazione su questi temi. E di farla in una maniera specifica: approfondita e di qualità, precisa tecnicamente ma comprensibile a tutti, svincolata dal ciclo delle notizie a tamburo battente, capace di connettere i puntini, di muoversi su tempi, temi, formati non scontati.
Il progetto è del tutto no profit, completamente avulso da logiche commerciali e di profitto, e costruito sul volontariato del gruppo organizzatore (qui chi siamo).
Ha anche una pagina Facebook, Linkedin e Instagram. Seguiteli! I podcast della newsletter li trovate sulle principali piattaforme ma attualmente sono in pausa (Apple Podcasts; Spotify; Google Podcast; Anchor.fm)