Mentre alcuni esperti archiviavano il caso come l’operazione di un gruppo di criminali informatici, all’interno della comunità di esperti si comincia a discutere con insistenza di una inquietante ipotesi, l’attacco NotPetya in realtà è l’azione di un governo
Il recente attacco su scala globale basato sul ransomware NotPetya ha dimostrato ancora una volta quanto siano vulnerabili sistemi industriali esposti in rete senza adeguate protezioni. Ancora una volta i sistemi di sicurezza di più paesi hanno fallito, soprattutto in presenza di una minaccia tecnicamente facile da mitigare alla luce del recente attacco WannaCry e della profonda conoscenza del vettore di attacco utilizzato, l’exploit EternalBlue.
Quel che più sorprende è tuttavia è la differente interpretazione dell’attacco da parte da parte degli esperti di sicurezza di tutto il mondo
Mentre alcuni esperti archiviavano frettolosamente il caso come l’operazione di un maldestro gruppo di criminali informatici, all’interno della comunità di esperti si comincia a discutere con insistenza di una inquietante ipotesi, l’attacco NotPetya in realtà è l’azione di un governo.
L’ipotesi NotPetya voluto dal governo
Ecco quindi che si discutono le anomalie del caso, ovvero il fatto che la modalità di pagamento del ransomware sia differente dalle consuete utilizzate da simili codici, così come del fatto che non vi sia possibilità da parte delle vittime di recuperare i file anche una volta pagato il riscatto. L’analisi oggettiva dei fatti mostra che il maggior numero di infezioni si è riscontrato in Ucraina, stato dal quale potrebbe esser parta l’offensiva. Esperti di Microsoft ed autorità Ucraine sono stati i primi ad individuare un potenziale vettore di infezione negli aggiornamenti di un software in uso nel paese, siamo quindi dinanzi al paziente zero.
È l’Ucraina il reale obiettivo dell’attacco?
Secondo i servizi segreti ucraini, l’attacco è un atto di terrorismo nei confronti del paese per questo motivo hanno richiesto la collaborazione nelle indagini da parte dell’FBI, dell’Europol e della NCA inglese. Premesso ciò si è passati all’analisi dei campioni del malware individuato. Il ricercatore Matt Suiche, fondatore della azienda Comae Technologies, ha spiegato che l’analisi condotta dal suo team sui campioni di Petya utilizzati nell’attacco ha rivelato le sue capacità distruttive.
«Abbiamo notato che l’implementazione del malware che ha infettato molteplici entità in Ucraina era in realtà quella di un wiper, ovvero di un sistema per la distruzione dei dischi delle macchine» afferma l’analisi pubblicata da Comae Technologies. «Crediamo che l’apparente comportamento da ransomware fosse in realtà una strategia diversiva da parte di uno governo che intende nascondere la reale natura distruttiva osservata in passato in altri casi per il malware Shamoon».
Gli aggressori hanno quindi usato una strategia diversiva per nascondere un attacco sponsorizzato da un governo straniero contro le infrastrutture critiche dell’Ucraina.
I ricercatori di Kaspersky che hanno analizzato il malware concordano sul fatto che NotPetya sia stato sviluppato per distruggere i sistemi che infetta.
Il malware ha infettato più di 12.000 dispositivi in 65 Paesi, colpendo sistemi industriali ed infrastrutture critiche.
L’ipotesi della NATO
Gli esperti della NATO ritengono che l’attacco sia stato probabilmente lanciato da un governo o che sia commissionato ad un attore non statale da parte di uno stato. Gli aggressori avevano a disposizione risorse necessarie ad orchestrare un attacco considerato complesso e costoso.
Gli esperti hanno osservato che, nonostante l’attacco presenti un livello di complessità considerevole, gli aggressori non hanno dedicato la necessaria attenzione alla gestione dei pagamenti, una circostanza che suggerisce che gli hacker non erano motivati finanziariamente.
“I criminali informatici non sono dietro l’attacco, poiché il metodo per raccogliere il riscatto è stato così scarsamente progettato che il pagamento del riscatto stesso probabilmente non copre nemmeno i costi dell’operazione “, recita una nota stampa dalla NATO (CCD COE).
Questa dichiarazione potrebbe avere gravi conseguenze, l’attacco informatico potrebbe essere interpretato dai membri dell’alleanza come un atto di guerra che quindi può innescare una risposta militare ai sensi dell’articolo 5 del trattato Nord Atlantico, principi della difesa collettiva.
“L’attacco globale basato su NotPetya del 27 giugno 2017 che ha colpito molteplici organizzazioni in Ucraina, Europa, Stati Uniti e forse la Russia può essere attribuito ad un attore statale, ha concluso un gruppo di ricercatori del CCD COE. L’analisi delle recenti campagne su larga scala WannaCry e NotPetya solleva domande su possibili opzioni di risposta degli stati colpiti e della comunità internazionale “, ha scritto Tomáš Minárik, ricercatore presso il ramo della legge CED di COE della NATO .
“Poiché i sistemi governativi critici sono stati presi di mira, nel caso in cui l’operazione sia attribuita ad uno stato si potrebbe interpretare l’azione come una violazione della sovranità dello stato bersaglio. Di conseguenza, questo potrebbe essere un atto internazionale illegittimo, che potrebbe autorizzare gli stati vittima dell’attacco a valutare diverse opzioni per rispondere all’offensiva,”
La differenza tra WannaCry e NotPetya
Nonostante l’attacco WannaCry e NotPetya presentino molteplici similitudini, secondo i ricercatori della NATO, sono stati condotti da diversi attori malevoli.
“Poiché la finalità estorsiva sembra essere solo una copertura negligentemente preparata, allora l’analisi sulla motivazione dietro l’attacco NotPetya dovrebbe essere condotta da altre prospettive. Anche se le medesime vulnerabilità sono state sfruttate da WannaCry e NotPetya, gli attori dietro questi due attacchi non sono probabilmente gli stessi. In entrambi i casi un possibile guadagno finanziario per gli aggressori è stato più che modesto. Tuttavia, è stato raggiunto un effetto, un attacco disruptivo su larga scala quasi globale, è quasi identico in entrambi i casi”. Continua il comunicato della NATO.
“NotPetya dimostra che dopo WannaCry, un altro attore ha sfruttato la vulnerabilità esposta dal gruppo Shadow Brokers. Inoltre sembra probabile che la campagna NotPetya, più complessa e distruttiva, sia una dimostrazione di forza e della capacità distruttiva acquisita da un governo”, ha concluso Lauri Lindström, ricercatore presso la NATO CCD COE Strategy Branch.
L’attribuzione di un attacco in un contesto come quello in cui ci si muove è difficile, proprio in considerazione delle possibili conseguenze
“WannaCry e NotPetya alimentano la discussione sulle possibili opzioni di risposta della comunità internazionale a simili attacchi. Il numero di paesi colpiti dimostra che gli aggressori non sono intimiditi dalla possibile investigazione condotta a livello mondiale in risposta ai loro attacchi. Questa potrebbe essere un’opportunità per le nazioni vittime di dimostrare il contrario avviando un’inchiesta speciale su larga scala” conclude il comunicato stampa.
L’incidente NotPetya sottolinea ancora una volta la necessità di dover disporre di un quadro normativo che regolamenti il comportamento degli stati nel cyber spazio e limiti la non proliferazione di armi cibernetiche.
Non dimentichiamo che tutto ha avuto inizio dalla disponibilità di un codice malevolo sviluppato dall’NSA e che le conseguenze potrebbero essere drammatiche se in luogo di EternalBlue si sfruttasse in futuro uno zero-day exploit.
