Internet nordcoreano abbattuto da sospetti attacchi cibernetici -ricercatori

L'internet della Corea del Nord sembra essere stato colpito da una seconda ondata di interruzioni in altrettante settimane, probabilmente causata da un attacco DDoS (distributed denial-of-service), hanno detto mercoledì i ricercatori.

L'ultimo incidente ha avuto luogo per circa sei ore mercoledì mattina ora locale ed è arrivato un giorno dopo che la Corea del Nord ha condotto il suo quinto test missilistico https://www.reuters.com/world/asia-pacific/north-korea-appears-have-fired-cruise-missiles-report-2022-01-25 questo mese.

Junade Ali, un ricercatore di cybersicurezza in Gran Bretagna che monitora una serie di diversi server web ed email nordcoreani, ha detto che al culmine dell'apparente attacco, tutto il traffico da e verso la Corea del Nord è stato bloccato.

"Quando qualcuno cercava di connettersi ad un indirizzo IP in Corea del Nord, Internet era letteralmente incapace di instradare i suoi dati nel Paese", ha detto a Reuters.

Ore dopo, i server che gestiscono la posta elettronica erano accessibili, ma alcuni server web individuali di istituzioni come la compagnia aerea Air Koryo, il ministero degli esteri della Corea del Nord e Naenara, che è il portale ufficiale del governo nordcoreano, continuavano a sperimentare stress e tempi morti.

L'accesso ad internet è strettamente limitato in Corea del Nord. Non si sa quante persone lì abbiano accesso diretto all'internet globale, ma le stime generalmente collocano la cifra in una piccola frazione dell'uno per cento della popolazione di circa 25 milioni.

NK Pro, un sito di notizie con sede a Seoul che monitora la Corea del Nord, ha riferito che i file di log e le registrazioni di rete hanno mostrato che i siti web su domini web nordcoreani erano in gran parte irraggiungibili perché il Domain Name System (DNS) della Corea del Nord ha smesso di comunicare i percorsi che i pacchetti di dati dovrebbero prendere.

Un incidente simile è stato osservato il 14 gennaio, ha riferito NK Pro.

La natura simultanea delle interruzioni dei server ha suggerito un attacco DDoS, in cui gli hacker cercano di inondare una rete con volumi insolitamente alti di traffico dati per paralizzarla, ha detto Ali.

"È comune che un server vada offline per alcuni periodi di tempo, ma questi incidenti hanno visto tutte le proprietà web andare offline contemporaneamente. Non è comune vedere l'intero internet offline".

Durante gli incidenti, la degradazione operativa si accumulava prima con timeout di rete, poi con singoli server che andavano offline e poi con i loro router chiave che cadevano da internet, ha detto Ali. "Questo mi indica che è il risultato di qualche forma di stress della rete piuttosto che qualcosa come un'interruzione di corrente".