Chi ha buttato giù internet in Corea del Nord?

di Celia Guimaraes 23 dicembre 2014Nella notte tra il 22 e il 23 dicembre, le quattro reti Internet a cui è collegata la Corea del Nord sono andate offline per 9 ore e 31 minuti a causa di un attacco DDoS (un intasamento massiccio della rete provocato da hacker). La caduta verticale del traffico, avvenuta alle 1:15 di notte (ora locale), è stata  rilevata da società che monitorano il traffico su internet in tutto il mondo, soprattutto società americane come Dyn (che controlla Renesys), CloudFlare, Arbor Networks.

Erano già state osservate, nelle ore precedenti al black-out, circa 24 ore di instabilità della rete locale. Secondo Dyn Research, “si tratta di un evento raro che un intero Paese sparisca da internet (come è successo con l’Egitto o in Siria), ma nel caso della Corea del Nord non siamo rimasti del tutto sorpresi, data la fragilità della loro connessione alla rete globale”.

Poche reti
Con una popolazione stimata in 25 milioni di abitanti, l'insieme di indirizzi Ip assegnati alla Corea del Nord sono pochissimi: quattro blocchi di 256 indirizzi, in totale 1024 indirizzi IPv4. In realtà, internet non è accessibile ai normali cittadini nordcoreani, che possono soltanto usare una rete intranet locale controllata dal governo. Il Paese ha solo un piccolissimo collegamento verso l’esterno (backbone), fornito dal gigante cinese delle telecomunicazioni China Unicom. Per gli esperti di Dyn Research, "la Corea del Nord ha molto meno da perdere [in caso di attacco a] internet, rispetto ad altri Paesi con popolazioni simili: Yemen (47 reti), Afghanistan (370 reti), Taiwan (5.030 reti)".
 
Picco incredibilmente piccolo
Secondo Arbor Networks, l’attacco DDoS che ha paralizzato internet in Corea del Nord ha avuto un picco di soli 6Gbps, che potrebbe sembrare troppo piccolo per un intero Paese, ma non è così se si tiene in mente che la Corea del Nord ha soli 1.024 indirizzi Ip assegnati. Una qualsiasi università occidentale probabilmente ha più indirizzi Ip della Corea del Nord e connessioni internet probabilmente più veloci, hanno osservato i siti specializzati in telecomunicazioni.
 
Chi c'è dietro?
Non è chiaro chi o che cosa abbia causato l'interruzione. Dyn, la società che per prima ha notato le irregolarità, ha affermato che l'incidente "sembrava coerente con una rete fragile sotto attacco esterno" oppure poteva derivare da "cause più comuni, come problemi di alimentazione".

Governo coreano e università
Un’analisi degli attacchi è stata fatta da Dan Holden, direttore di sicurezza di Arbour Networks, che si è chiesto che cosa stanno attaccando e chi c'è dietro. Per Holden, “sembra che gli obiettivi siano siti governativi o gestiti dal governo” e indica Naenara (il sito web ufficiale) e il sito della Kim Il Sung University come obiettivi plausibili.

L’altra domanda, chi c’è dietro un simile attacco, secondo Holden " è molto divertente”, soprattutto perché si tratta della Corea del Nord. La risposta è che sarebbe più facile dire chi ‘non’ è il responsabile.  “Sono abbastanza sicuro che non è opera del Governo degli Stati Uniti”, è stata la valutazione del direttore di Arbour. “Questo non è il ‘modus operandi’ del un lavoro di un governo”, ha concluso.

Ma chi c’è allora dietro l'attacco? Secondo Extreme Tech, potrebbe trattarsi di Lizard Squad, già responsabile di un attacco DDoS contro PlayStation Network e Xbox Live.

Anonymous e suoi fratelli
Il collettivo ha pubbicato un tweet in cui sembrava assumersi la responsabilità per l'attacco alla Corea del Nord: "Xbox Live & altri obiettivi sono molto più potenti. La Corea del Nord è un pezzo di torta". Il loro account su Twitter è stato poi sospeso. Anonymous, che ha reagito alla vicenda Sony Pictures-Corea del Nord per il film The Interview, ha spesso utilizzato attacchi DDoS.

Ma gli Usa no, o forse sì
Il Governo degli Stati Uniti ha promesso risposte “commisurate” contro Corea del Nord per la violazione al sistema informatico della Sony Pictures, però secondo gli analisti della sicurezza in rete sembra improbabile che possa aver usato un  DDoS temporaneo. Ma chi lo sa. Comunque, un DDoS a lungo termine della durata di settimane o mesi potrebbe effettivamente causare problemi - e se c'è chi ha gli strumenti per portare a termine un attacco del genere, questa è la divisione guerra informatica degli Stati Uniti.