Amazon ha individuato e bloccato un infiltrato nordcoreano che lavorava come amministratore di sistema all'interno della sua infrastruttura statunitense, grazie a un dettaglio apparentemente insignificante: la latenza di input da tastiera. Il caso, rivelato dal Chief Security Officer del colosso dell'e-commerce Stephen Schmidt in un'intervista a Bloomberg, illumina una minaccia crescente per le aziende tech occidentali e dimostra come la telemetria avanzata e il monitoraggio comportamentale stiano diventando strumenti essenziali nella cybersecurity aziendale. La Repubblica Popolare Democratica di Corea (RPDC) infiltra sistematicamente lavoratori remoti nelle corporation statunitensi per generare valuta forte, ma anche per condurre potenziali operazioni di spionaggio e sabotaggio industriale.
L'anomalia che ha fatto scattare l'allarme era di natura puramente tecnica: mentre un lavoratore remoto basato negli Stati Uniti registra tipicamente una latenza di input da tastiera nell'ordine delle decine di millisecondi, il presunto amministratore di sistema mostrava consistentemente ritardi superiori ai 110 millisecondi. Questa discrepanza, rilevata dai sistemi di monitoraggio del laptop aziendale assegnato all'impiegato, ha immediatamente sollevato sospetti tra gli specialisti di sicurezza di Amazon, innescando un'indagine più approfondita.
L'analisi forense ha rivelato che il laptop, ufficialmente registrato come operante in Arizona, veniva in realtà controllato da remoto: l'infiltrato nordcoreano utilizzava una connessione intermediaria per inviare comandi al dispositivo situato fisicamente negli Stati Uniti. Questa configurazione a doppio hop spiegava perfettamente l'aumento della latenza di input. Schmidt ha sottolineato che software di sicurezza di qualità elevata è stato fondamentale per rilevare questo schema di comportamento anomalo e distinguerlo da normali fluttuazioni di rete.
Il Chief Security Officer di Amazon ha evidenziato un aspetto cruciale della vicenda: la proattività nella ricerca è essenziale. "Se non avessimo cercato attivamente lavoratori RPDC", ha dichiarato Schmidt, "non li avremmo trovati". Questa ammissione suggerisce che molte altre organizzazioni, prive di programmi di monitoraggio dedicati, potrebbero ospitare inconsapevolmente infiltrati simili nelle loro reti. La scoperta non è stata casuale ma il risultato di una politica aziendale deliberata di screening comportamentale e tecnico dei dipendenti remoti.
L'operazione fraudolenta si basava su una rete di facilitatori sul territorio statunitense. Una donna coinvolta nel fornire accesso fisico ai laptop aziendali per conto degli impostori nordcoreani è stata condannata a diversi anni di carcere all'inizio del 2024. Il sistema prevedeva probabilmente l'uso di identità rubate o fabbricate per superare i controlli preliminari all'assunzione, mentre la presenza fisica del dispositivo negli Stati Uniti serviva a eludere eventuali controlli basati sulla geolocalizzazione IP.
Oltre agli indicatori tecnici come la latenza anomala, gli specialisti di sicurezza segnalano che l'uso maldestro degli idiomi americani e degli articoli nella lingua inglese continua a rappresentare un segnale d'allarme nelle comunicazioni con questi infiltrati. Tuttavia, con il progressivo miglioramento delle competenze linguistiche e l'utilizzo di strumenti di intelligenza artificiale per la generazione di testo, questo metodo di individuazione potrebbe diventare progressivamente meno affidabile.
Il caso Amazon rappresenta probabilmente solo la punta dell'iceberg di un fenomeno molto più esteso. L'FBI ha recentemente condotto sequestri su larga scala di attrezzature informatiche collegate a operazioni di infiltrazione nordcoreane, suggerendo che decine o centinaia di casi simili potrebbero essere attualmente attivi nelle infrastrutture aziendali statunitensi. La minaccia non si limita alla RPDC: attori ostili provenienti da Iran, Russia e Cina conducono operazioni analoghe, sfruttando la diffusione del lavoro remoto post-pandemia e la crescente difficoltà di verificare fisicamente l'identità dei dipendenti distribuiti geograficamente.
