L’attacco Hacker Wannacry: bruttissimo segno.

Siamo al primo attacco informatico globale: decine di migliaia di siti e server infettati (9.000 all’ora di ben 99 paesi diversi) sia di comuni cittadini che di banche, ospedali, imprese di trasporto o istituzioni da parte di un virus denominato Wannacry.

Il virus ha attaccato attacca i pc con la richiesta di 300 dollari in bitcoin per poter essere sbloccato. Peraltro un giovanotto poco più che ventenne è riuscito in 24 ore a fornire il programma che ha neutralizzato (forse solo in parte) l’attacco.

Di che si tratta? In apparenza, per l’ampiezza e la contemporaneità dell’attacco, sembrerebbe l’impresa di un gruppo di hacker particolarmente dotati. Non sono un esperto in materia e non so giudicare quanto sia stata tecnologicamente sofisticata l’azione (chiederò lumi ai miei amici), ma ad occhio e da profano, non mi sembra una cosa tanto comune, visto che è riuscito a neutralizzare molti dispositivi anti virus anche di qualche livello: fra gli infettati c’è stato anche il sito della banca centrale russa che, si immagina, abbia antivirus un po’ più potenti di quelli di un comune utente di internet. Quindi, non sembrerebbe una cosa alla portata di qualsiasi hacker, ma di un gruppo particolarmente agguerrito, ma di cosa può trattarsi?

L’apparenza farebbe pensare ad un’azione a scopo estorsivo, quindi un episodio, per così dire, di cybercriminalità comune. Può darsi, perché no? Ma la cosa convince poco per diversi motivi.

Logica vorrebbe che attacchi di questo tipo  mirino ai grandi numeri di utenti comuni, per chiedere piccoli riscatti oppure, al contrario (ma è molto più impegnativo) pochi siti importanti per chiedere  riscatti ben più consistenti. Qui abbiamo una strana ammucchiata con la richiesta di poche centinaia di dollari per di più in Bitcoin che non sappiamo se e come pensino di convertire in valuta ufficiale. Insomma: ti attrezzi per violare siti particolarmente protetti e che, dopo, scateneranno una reazione di potenti servizi segreti, il tutto per 300 dollari?

Poi, che io sappia, è la prima volta che si chiede un riscatto in bitcoin che espone a rischi di tracciabilità ben più consistenti del comune denaro. Ne so poco, ma immagino che, se si segnano con inchiostri simpatici le banconote dei riscatti, sia ancora più realizzabile “marcare” l’algoritmo di un bitcoin in modo da renderlo riconoscibile e risalire a chi lo abbia speso.

Poi sorprende la grande rapidità con cui l’attacco sia stato neutralizzato. Insomma, la cosa vi convince? Sarebbe più credibile l’ipotesi di una specie di “spot pubblicitario” di una qualche impresa che venda antivirus, anche se si tratterebbe di una cosa molto rischiosa. E, peraltro, la facilità con cui il virus è stato neutralizzato farebbe pensare ad un flop.

L’ipotesi più consistente è quello dell’attacco di un servizio segreto statale e, infatti, due giganti della lotta al cybercrime come l’americano Symantec ed il russo Kaspersky hanno offerto elementi che indicano come possibile responsabile il servizio segreto nord coreano.

Sostanzialmente gli elementi sarebbero questi l’attacco è avvenuto in concomitanza con il lancio del missile balistico a lungo raggio da parte del regime di Kim Song-un; in secondo luogo, “WannaCry”  avrebbe al suo interno codici che risalgono ad una precedente versione dello stesso virus  usato in passato dal “Lazarus Group”, che opererebbe nella Corea del Nord che proprio con questa precedente versione di “WannaCry” riuscì a depredare 81 milioni di dollari da una banca del Bangladesh. Resta da capire perché questa volta si accontenterebbero di soli 300 dollari in Bitcoin. Intendiamoci: l’ipotesi ci sta tutta, perché è evidente che in un paese come la Nord Corea un gruppo hacker del genere non potrebbe operare se non fosse una costola dei servizi segreti, peraltro Kim Jong Un è sospettabilissimo di qualsiasi cosa.

Però, qui abbiamo solo indizi: la coincidenza con il lancio del missile potrebbe essere del tutto occasionale e la presenza di pezzi di un programma precedente non vuol dire molto, dato che potrebbe benissimo essere stati usati da altri, magari interessati proprio ad attaccare la Nord Corea. Dunque ipotesi possibile, ma sin qui non provata.

C’è un’altra ipotesi che merita d’essere valutata: che questo colpo venga da un qualche servizio segreto statale, ma diverso dalla Nord Corea e magari di qualche grande potenza che non proviamo neppure ad identificare sulla base di questi dati. Con che scopo? E se fossimo in presenza di una sorta di grande prova? Come cantava Jannacci, qualcosa da “vedere di nascosto l’effetto che fa”. O anche un sasso lanciato in piccionaia per vedere che uccelli si alzano in volo. Fuor di metafora: per saggiare i punti vulnerabili e  la reazione degli altri. Una sorta di grandi manovre cyber in preparazione di qualcosa.

Non è un segnale tranquillizzante, decisamente.

Aldo Giannuli

aldo giannuli, cyberwar, intelligence, virus, wannacry


Aldo Giannuli

Aldo Giannuli

Storico, è il promotore di questo, che da blog, tenta di diventare sito. Seguitemi su Twitter o su Facebook.

Comments (16)

  • Giannuli non si tratta del primo caso a propagazione mondiale né l’azione del giovanotto è da intendersi come risolutiva (sono possibili nuove infezioni da “varianti”) giacché sfruttava un meccanismo di disinnesco previsto dagli stessi criminali, nella fattispecie la registrazione di un nome di sito internet.

    Lo stesso giovane ha postulato che potesse essere un accorgimento per impedirne l’esecuzione nei sistemi di analisi usati dagli specialisti di sicurezza.

    https://arstechnica.com/information-technology/2017/05/wanna-decryptor-kill-switch-analysis/

    La diffusione telematica (non l’unico modo automatico d’infezione) ha sfruttato vulnerabilità note e sono stati colpiti sistemi non aggiornati per negligenza o perché talmente obsoleti che non sono più prodotti aggiornamenti.

    Vale la pena ricordare che la Microsoft abbia reso disponibile a tutti un aggiornamento straordinario anche ai prodotti fuori produzione.

    https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

    In passato la Microsoft a emesso addirittura un tagli sugli autori di infezioni di particolare impatto mediatico ed informatico

    http://www.repubblica.it/2009/02/sezioni/tecnologia/internet-sicurezza/internet-sicurezza/internet-sicurezza.html

    Circa la pista nordcoreana…
    https://arstechnica.com/security/2017/05/virulent-wcry-ransomware-worm-may-have-north-koreas-fingerprints-on-it/

  • Il codice utilizzato è stato sviluppato tempo fa dalla NSA: questi bravi signori avevano trovato una falla in un modulo Microsoft e invece di avvertire l’azienda affinché provvedesse ci hanno scritto un programma che la potesse sfruttare a loro beneficio. Poi sono stati così accorti da farselo fregare. Qualche mese fa, pare dopo un tentativo di estorsione, il codice rubato è stato reso pubblico per cui chiunque avrebbe potuto riutilizzarlo. Microsoft a marzo aveva messo in distribuzione la correzione necessaria per neutralizzarlo.
    Venerdì sera nel giro di quattro ore un’azienda di sicurezza è riuscita a prendere il controllo di uno dei server utilizzati per l’attacco e ha bloccato il meccanismo di criptaggio, limitando così moltissimo i danni.
    La mia conclusione è che i responsabili dell’attacco non siano poi così in gamba e mi pare velleitario ipotizzare scenari di alto livello.
    Il problema vero, su cui però nessuno si concentra, è che moltissime persone tra cui anche responsabili di aziende e istituzioni non si preoccupano minimamente della sicurezza informatica.
    Nonostante tutto, stavolta è andata abbastanza bene. La prossima?

  • A me pare ordinaria amministrazione opera di criminalità comune… In un certo qual senso utile per ricordare (dietro un così onesto compenso) che lasciare esposti su internet sistemi informatici non aggiornati né minimamente protetti possa avere qualche conseguenza.

  • “Poi, che io sappia, è la prima volta che si chiede un riscatto in bitcoin che espone a rischi di tracciabilità ben più consistenti del comune denaro”

    Professore, guardi che sono cose che avvengono tutti i giorni: operazione “cryptowash” del 2015, e potrei andare avanti per molto. Attacchi con cryptolocker sono la “normalità” in determinati mondi. in questo specifico caso sarebbe opportuno rivolgere l’attenzione invece che ad est (Russi cattivoni!! Kim Jong Ciccio ultracattivissimo!!) verso Israele (un segnalino a chi di dovere per l’affare VAULT7, questo si, passato sotto silenzo nonostante l’enormità della cosa: altro che uccelli e piccionaia! praticamente come mettere l’arsenale cyber più potente del momento a disposizione un po’ di tutti, CODICE SORGENTE compreso!! non so se mi spiego…)

    Saluti & Salute !!

  • Professore buongiorno!
    Non sono un esperto in materia, ma qualcosa di “ransomware” ne so. Se non altro, perché accaduto molto vicino al posto da cui scrivo. In sostanza, nella versione meno evoluta, ci si vede arrivare, anche da un indirizzo amico, noto, una mail con un allegato da aprire o un indirizzo da cliccare. Nella versione più evoluta, basta aprire sul proprio pc la mail e scorrere il testo: così, almeno, si vocifera. A noi capitò la versione meno evoluta. Siti che assomigliano ai gestori di servizi telefonici, postali, bancari, invitano alla lettura di allegati di fatture, piuttosto che signorine più o meno invitanti invitano, per l’appunto, a una conoscenza che promette già di essere “biblica”. Il malcapitato di turno abbocca. Calcola che gli indirizzari depredati tramite incursioni mirate sui gestori di account servono a questo, e vengono venduti a peso d’oro: una versione più evoluta delle chiamate dalla Lituania o dall’Albania che ti vogliono proporre un nuovo servizio, un invio multiplo a migliaia e migliaia di account, uno sparare nel mucchio che, prima o poi, produce un ritorno di polli che abboccano. “La sventurata”, quindi, “rispose”. In quel momento, di solito, un trojan entra nel pc del malcapitato e blocca l’accesso ai file condivisi in rete con cui lo stesso entra in contatto e, da li, infetta tutta la rete.
    Scatta quindi la richiesta di riscatto (da cui “ransomware”). Pochi soldi, per invogliare la ditta a pagare nel caso in cui gli antivirus, ovvero i programmi atti a togliere il blocco ai file, non funzionino.

    Raccomandazione: fare frequenti salvataggi dei propri file e, quando arriva il trojan, staccare il pc dalla rete, fare un bel format c:/*.*, rimettere i file, ripetere lo stesso sui pc della rete eventualmente infetti, riattaccare la rete, e vissero tutti felici e contenti. Okkio, come si dice in gergo, che i trojan più evoluti sono temporizzati e, pertanto, possono essere entrati anche nei salvataggi per poi esplodere, per l’appunto, a tempo. In tal caso, meglio pagare 300 euro se si tiene ai propri file, oppure aspettare che esca l’antivirus, che magari ne costa 70-80 (e magari si scopre essere, come sospettavi, riconducibile agli stessi hacker).

    Per quanto riguarda infine i bitcoin, su fondsk.ru il buon Katasonov è da mesi che ci sta studiando, tirando fuori dati interessantissimi. Tra cui, per esempio, il fatto che i bitcoin non sono né istituzionali, né istituzionalizzati. Lo stanno cercando di fare in Cina, ovviamente con scarsi risultati, perché la rete è liquida e quello che esce dalla porta, rientra dalla finestra, come ben sanno tutti gli utenti di fb & co di oltremuraglia che vi accedono con qualche trucco sull’IP. A maggior ragione poi, se si parla di soldi, visto che Pechino usa quotidianamente le sue due postazioni “libere” di HK e Macao per quotidiani intrallazzi off-shore. figuriamoci i bitcoin. Per tracciare i bitcoin sarebbe necessario tracciare prima chi li emette. Il segreto bancario svizzero è meno tabù.

    Il mondo di oggi, purtroppo, si sta evolvendo in questa direzione. E non è solo “ransomware” di hacker affamati di dollari o pubblicità al prossimo antivirus. Riciclaggio di denaro sporco, criminalità organizzata a mano armata, piuttosto che alta finanza (ovvero criminalità organizzata in genere a mano non armata), si stanno orientando verso queste forme di accumulazione, trasferimento e deposito di ingenti forme di denaro “liquido”, anonimo, quindi non controllabile. E il motivo è evidente. I trentasei milioni di euro ottenuti dando ai migranti cibo per maiali al posto di pasti a Isola Capo Rizzuto, possono finire con un click in un posto sicuro senza neanche passare dal via. Persino il cambio in valuta dei bitcoin sfugge al controllo delle banche centrali, divenendo vero e proprio gioco d’azzardo. Davvero dovrebbe essere un tema all’ordine del giorno su cui sensibilizzare l’opinione pubblica.

    Un caro saluto

    Paolo

    • PS come emerso anche nel cosiddetto scandalo degli hacker russi sul portatile della segretaria personale della Clinton, lei usava da casa senza protezioni e che si scoprì poi che il marito usava tranquillamente per vedere porcherie e non sulla rete, attirandosi dentro il mondo fra virus, malware e trojan, in realtà gran parte della colpa della nostra vulnerabilità… è proprio nostra.
      Ci connettiamo tramite software proprietari che fanno capo a Google (Android), a Windows e ad Apple e che ci hanno richiesto lo specifico consenso a entrare in casa nostra: consenso a cui noi abbiamo risposto “accetto”, accettando gli “aggiornamenti”, le condizioni poste dalle app o dai programmi che installiamo. Addirittura, per molti utenti, facendo fare loro tutto in automatico, senza neanche più vedere cosa ci installano. E diventiamo, se personaggi insulsi come il sottoscritto, numeri anonimi da inserire a fini statistici in calcoli di scala. Se invece VIP, personaggi i cui feedback entrano in un server centrale e poi… dove vanno, vanno. POI, ci sono anche le ingenuità di compiere operazioni in ambienti WIFI a scarsissima protezione, POI ci sono quelli che cliccano sopra un link o aprire un file sospetto da fonti sconosciute, assimilabili a quei poveretti truffati per il semplice fatto di rispondere “SI” a una telefonata di un call center. POI ci sono gli “scienziati” che si installano la telecamerina da due soldi in casa per vedere se entrano i ladri, i ladri bucano la protezione della stessa e la usano per vedere se c’è il padrone in casa prima di entrare, senza neanche appostarsi fuori in modo sospetto. POI ci sono i voti elettronici, che persino negli USA stanno criticando per la loro vulnerabilità. E altri “cinema”… tipici di questa epoca. Ma – a monte – il danno è già fatto. E, forse, la vera “alfabetizzazione” che dovrebbero fare nelle scuole, non dovrebbe essere come usare il tablet, che i giovani lo sanno meglio dei prof, ma come difendersi da queste nuove insidie. Ma sarebbe una scuola anti-sistema.

      Paolo

  • Quello che dovrebbe sorprendere, più delle cattive intenzioni dei creatori del virus, è la velocità delle reti e dei sistemi. La velocità ha un fenomeno assai fastidioso per la psiche umana: restringe l’ambito percettivo. Questo disturbo spazio/temporale dipende prevalentemente dalla capacità di reazione alla compressione del fenomeno a cui siamo soggetti. Questa velocità aumenta col sistema di condivisione delle risorse, motivo per cui il virus si è propagato, e l’assenza prevenzione (cioé sistemi di sicurezza testati). Per quanto riguarda la semplicità dello stop significa che la cialtroneria non è solo di casa da noi

  • Avatar

    Antonio Demofonti

    Sembra tutto fin troppo evidente e chiaro. Una bella favola da “American Dream”: il Ragazzo-Davide che sconfigge con la fionda il Gigante-Golia…C’e’ un sottotesto a questa incursione che sanno leggere solo gli interessanti…Domanda financo banale: “Cui Prodest?”…Congratulazioni Caro Professore per le belle ed illuminanti pagine che ci ha donato e ci donera’….

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.