L’ipotesi, accreditata da qualche elemento di prova, l’hanno tirata fuori due giganti della lotta al cybercrime, uno americano, Symantec (produttore dei sistemi antivirus “Norton”) e l’altro russo, Kaspersky (anch’esso produttore di programmi per la protezione dei computer): dietro “WannaCry”, il ransomware che ha provocato in 99 paesi gravissimi danni a migliaia di computer, potrebbero esserci hacker nord coreani, addirittura forse legati al governo di Pyongyang. Ipotesi inquietante, perché se così fosse, l’attacco che ha rischiato di generare un cyber-caos in tutto il mondo, è avvenuto in concomitanza con il lancio del missile balistico a lungo raggio da parte del regime di Kim Song-un.
Su cosa si basa questa ipotesi? E ci sono elementi di prova convincenti? Diciamo subito che le due multinazionali della lotta al cybercrime non si sbilanciano più di tanto nell’attribuire con certezza alla Nord Corea la responsabilità dell’attacco. Ma portano a favore di questa tesi alcuni fattori significativi. Il primo è che “WannaCry” ha al suo interno codici (righe di programma, per capire di cosa si sta parlando, cioé “comandi” che vengono fatti eseguire al computer infettato) che risalgono ad una precedente versione dello stesso “ransomware”, versione usata in passato da un gruppo di hacker, il “Lazarus Group”, che – secondo molti analisti informatici – opera proprio dalla Corea del Nord. Il secondo fattore è che proprio con questa precedente versione di “WannaCry” il gruppo nordcoreano è riuscito a depredare 81 milioni di dollari da una banca del Bangladesh. E proprio il Lazarus Group si è dimostrato uno dei sodalizi cybercriminali più impegnati nell’estorcere soldi alle aziende o agli enti pubblici e privati che sono riusciti a raggiungere e “infettare”.
“Questo è il miglior indizio che abbiamo potuto verificare finora sulle origini di WannaCry”, ha spiegato Kurt Baumgartner, ricercatore dei Kaspersky Lab. Insieme a Symantec, gli anti-cybercrime russi, hanno chiesto la collaborazione di tutti gli analisti ed esperti, così come di tutte le organizzazioni governative addette alla sicurezza informatica, per fornire il maggior numero possibile di dati al fine di risalire ai responsabili dell’attacco. Funzionari statunitensi ed europei che si occupano di sicurezza informatica hanno detto che seppure sia troppo presto per stabilire la responsabilità certa dell’attacco, la Corea del Nord è una dei maggiori sospettati.
Alcuni esperti della sicurezza informatica del settore privato hanno però affermato di non essere sicuri che il motivo dell’attacco fosse principalmente quello di fare soldi, rilevando che la maggior parte dei maggiori ransomware e altri tipi di campagne di estorsione di cybercrime hanno prodotto milioni di dollari di entrate agli autori degli attacchi. “Credo che questo sia stato diffuso allo scopo di causare il maggior numero possibile di danni”, ha dichiarato Matthew Hickey, co-fondatore della società di consulenza informatica britannica Hacker House. I paesi più colpiti da WannaCry fino ad oggi sono stati Russia, Taiwan, Ucraina e India, secondo la società di sicurezza ceca Avast. Il numero di infezioni è diminuito drasticamente dal picco di venerdì quando sono stati colpiti più di 9.000 computer all’ora.
Oltre alla necessità immediata di proteggere le strutture informatiche, l’attacco ha trasformato la cybersicurezza in un argomento politico in Europa e negli Stati Uniti, la cui discussione ha coinvolto anche il ruolo svolto dai governi nazionali. In un post sul suo blog, il presidente della Microsoft, Brad Smith ha confermato ciò che i ricercatori hanno già accertato: l’attacco ha fatto uso di uno strumento di hacking costruito dall’Agenzia Nazionale per la Sicurezza Nazionale americana (NSA), che è stato diffuso online in aprile. Smith ha versato così benzina sul fuoco nel dibattito su come i servizi di intelligence dei governi dovrebbero equilibrare il loro desiderio di tenere segreti i software d’intrusione – allo scopo di condurre lo spionaggio e la guerra informatica – con la necessità di far conoscere alle aziende tecnologiche del settore le manchevolezze presenti nei loro sistemu operativi, con l’obiettivo di garantire meglio Internet. Il presidente della Microsoft ha lanciato un vero e proprio “j’accuse” contro l’Nsa americana per la diffusione online di strumenti di hacking che sfruttano “bug” dei sistemi operativi senza informare le aziende produttrici, con lo scopo così di ottenere segretamente la possibilità di introdursi nei computer del “nemico”. Questo sistema – ha detto in sostanza Smith – si ritorce contro tutti, permettendo agli hacker di colpire senza poter approntare difese efficaci da parte delle aziende tecnologiche che così potrebbero garantire meglio la sicurezza su Internet. Questo perché il ransomware si trasmette grazie a EternalBlue, una cyber arma della Nsa (l’agenzia per la sicurezza nazionale statunitense), diffusa online lo scorso aprile dal gruppo hacker Shadow Brokers. Uno strumento che sfrutta una vulnerabilità presente in tutte le versioni più diffuse di Windows. La falla è stata risolta dalla stessa Microsoft con un update che risale al marzo passato chiamato MS17-010, scaricarlo ci mette al riparo dall’infezione. Brad Smith, il presidente e principale consulente legale dell’azienda tecnologica, ha paragonato quanto accaduto “al furto all’esercito americano dei suoi missili Tomahawk”, che sono stati utilizzati per la prima volta durante la prima guerra del Golfo, nel 1991.
Ieri, uno dei responsabili dell National Security Agency americana ha cercato di scagionare la sua organizzazione da qualsiasi colpa. “Non è stato uno strumento sviluppato dalla Nsa per acquisire dati al fine di un riscatto in denaro. Questo era uno strumento sviluppato per individuare potenziali criminali o stati nazionali stranieri responsabili di attacchi informatici contro altre nazioni o organismi statali e privati in tutto il mondo. Lo strumento elaborato dalla Nsa è stato riscritto e organizzato per far passare email e documenti infettati dal WannaCry, con lo scopo di bloccare i computer, di prenderli in ostaggio per estorcere denaro”. Il responsabile della Nsa ha ribadito che il loro strumento non ha alcun tipo di funzione in questo senso, ma solo quello di poter accedere “segretamente” a computer e sistemi informatici sospettati di operare contro gli Stati Uniti.
Il presidente russo Vladimir Putin, notando il legame oggettivo tra la tecnologia al servizio di spionaggio degli Stati Uniti e il ransomware diffuso in tutto il mondo, ha dichiarato che dovrebbe essere “discusso immediatamente ad un livello politico serio”. “Una volta che vengono fatti uscire dalla lampada, ‘genies’ (il riferimento è allo strumento di infiltrazione costruito dalla Nsa, n.d.r.) di questo tipo, specialmente quelli creati dai servizi di intelligence, possono poi fare danni ai loro autori e creatori”, ha detto.
Fonte: Repubblica.it