Noti ricercatori ed esperti di sicurezza informatica sostengono che dietro l’attacco che ha coinvolto oltre 90 Paesi ci sia Pyongyang. Il codice del ransomware è identico a quello di una backdoor attribuibile ad un gruppo hacker Lazarus
La conferma arriva da un tweet di Matthieu Suiche, il quale ringrazia Neel Mehta, noto ricercatore di sicurezza di Google per aver trovato similitudini tra il codice di WannaCry e Backdoor.Contopee, una backdoor scovata il 15 febbraio 2016 da Symantec utilizzata dal gruppo hacker nordcoreano Lazarus per trafugare milioni di dollari dalla banca centrale del Bangladesh e per altri attacchi relativi al 2014 e 2015 sempre contro istituzioni finanziarie.
Che cos’era Contopee
Contopee è una backdoor che garantisce all’attaccante l’accesso da remoto ai sistemi target. In particolare la backdoor utilizzata dal gruppo nordcoreano, una volta aperta sul sistema compromesso, comunicava e inviava dati al server remoto “onlink.epac.to”. I dati scambiati erano di vario tipo, nome del computer, informazioni sul sistema operativo, sulla CPU, sul BIOS, sui file e sui processi. Inoltre era possibile eseguire azioni quali, creare cartelle, creare e fermare processi, scaricare, caricare, muovere e cancellare file. Praticamente avere un totale controllo del sistema attaccato.
Le somiglianze tra WannaCry e Contopee
Suiche “twitta” una foto che mostra la differenza tra le due versioni. Confronta il codice della prima versione di WannaCry con la versione di Contopee sottolineando il fatto che non vi siano differenze.
I ricercatori in queste ore avanzano numerose ipotesi rispetto alle origini di WannaCry. Sicuramente la scoperta di Mehta è una delle più gettonate per via del coinvolgimento della Repubblica Popolare Democratica di Corea, ma di fatto la versione in questione di WannaCry ( febbraio 2017) sembra essere embrionale e non rispecchiare le ultime versioni del ransomware .
I possibili scenari
I motivi dell’esistenza di questo codice identico possono essere due. Una False Flag, ovvero una falsa attribuzione al gruppo hacker nordcoreano per depistare le indagini, oppure il codice può essere semplicemente stato copiato dalla backdoor Contopee e riutilizzato per WannaCry.