La Corea del Nord c’entra con WannaCry?

WannaCry, il virus informatico (ransomware) che ha infettato oltre 200mila computer in tutto il mondo, contiene indizi che fanno pensare a un diretto coinvolgimento della Corea del Nord, almeno secondo alcune delle più grandi aziende specializzate nella sicurezza informatica. Gli analisti di Symantec e Kaspersky, insieme ad altri ricercatori indipendenti e di aziende come Google, hanno trovato diverse somiglianze tra una prima versione di WannaCry e il codice utilizzato nel 2015 da Lazarus, un gruppo di hacker ritenuto legato al governo della Corea del Nord, diventato famoso nel 2014 per l’attacco contro Sony Pictures per boicottare The Interview, il film comico che raccontava un’improbabile missione per uccidere il dittatore nordcoreano Kim Jong-un.

Le similitudini nel codice di WannaCry sono consistenti, dicono gli esperti, ma è ancora presto per affermare con certezza che il ransomware sia legato alla Corea del Nord. Non si può per esempio escludere che il codice di Lazarus sia stato riciclato da un’altra organizzazione di hacker, o che sia stato inserito volutamente per confondere chi sta indagando sull’origine del virus informatico. Kaspersky ha comunque notato che il codice riciclato non è più presente nelle nuove versioni di WannaCry, messe in circolazione negli ultimi giorni per tentare di eludere i sistemi antivirus, e che saranno necessarie altre indagini per capirci qualcosa. Nel 2016, per esempio, gli esperti di sicurezza impiegarono mesi prima di avere la certezza che un attacco informatico contro una banca del Bangladesh fosse stato condotto da Lazarus per tentare il furto di oltre 80 milioni di dollari.

https://twitter.com/msuiche/status/864179805402607623

Kaspersky studia da anni le attività e le strategie seguite da Lazarus. In un lungo rapporto sull’organizzazione pubblicato lo scorso aprile, i suoi analisti scrivono che Lazarus è diverso da altri gruppi di hacker per il modo in cui agisce e gli strumenti che può sfruttare, ipotizzando che abbia alle spalle il sostegno dello stesso governo nordcoreano. Kaspersky dice di avere trovato indizi sulla provenienza di attacchi informatici direttamente dalla Corea del Nord in passato, ma invita comunque alla cautela fino a quando non ci saranno prove più consistenti.

Secondo le analisi di Symantec, il codice utilizzato nelle prime versioni di WannaCry diffuse venerdì scorso ha molte cose in comune con i malware realizzati in passato da Lazarus e che si pensa provenissero dalla Corea del Nord. L’esperto di sicurezza informatica Eric Chien, diventato famoso per le sue analisi di Stuxnet (il virus sviluppato da Stati Uniti e Israele per danneggiare il programma nucleare iraniano), ha detto che per ora è stato possibile identificare solo un labile collegamento con i nordcoreani, ma che ulteriori somiglianze nel codice potrebbero confermare i sospetti avuti finora.

Molti dettagli su WannaCry devono essere ancora chiariti, a partire dall’area geografica in cui ha iniziato a diffondersi, prima di causare seri danni alle reti di aziende e organizzazioni pubbliche, a partire da quella del sistema sanitario nazionale britannico. Dopo avere infettato un computer, WannaCry cripta tutti i dati e chiede il pagamento di un riscatto per renderli nuovamente leggibili. Questo ransomware (“ransom” in inglese significa riscatto) per funzionare e diffondersi sfrutta una falla di sicurezza all’interno di Windows, il sistema operativo di Microsoft più diffuso al mondo, che era già stata corretta a marzo scorso dall’azienda. Il problema è che non tutti i computer sono stati aggiornati per tempo, soprattutto in ambito aziendale dove per motivi di compatibilità si procede più lentamente con gli aggiornamenti.

La falla di sicurezza sfruttata da WannaCry era stata identificata dalla National Security Agency (NSA), che aveva deciso di non avvisare Microsoft per sfruttarla ai propri fini di spionaggio informatico. L’informazione sarebbe dovuta rimanere riservata, ma è diventata di dominio pubblico insieme a una grande mole di dati sottratta alla NSA e diffusa online. È quindi probabile che queste informazioni siano state sfruttate per creare WannaCry e attivare l’attacco di venerdì scorso.

Il presidente di Microsoft, Brad Smith, ha commentato molto duramente l’attività della NSA e la sua scelta di non comunicare con tempestività la scoperta di pericolose falle di sicurezza in Windows, chiedendosi che cosa accadrebbe se l’esercito statunitense perdesse il controllo di alcuni suoi missili per poi scoprire che un’organizzazione criminale minaccia di usarli per condurre un attacco: “È già successo che vulnerabilità scoperte e trattenute dalla CIA siano finite su WikiLeaks. Ora queste vulnerabilità sottratte alla NSA hanno interessato i nostri clienti in giro per il mondo”.

Il Dipartimento della Sicurezza Interna degli Stati Uniti non ha confermato né smentito le notizie sul furto delle informazioni alle agenzie di intelligence, come del resto aveva già fatto in passato quando erano state pubblicate le presunte informazioni riservate sulle falle di sicurezza. In una breve conferenza stampa, il consigliere per la sicurezza interna di Donald Trump, Thomas Bossert, ha detto che per ora “non sappiamo” quale sia stata la fonte dell’attacco: “Non voglio dire che non ne abbiamo idea in assoluto. Vi assicuro che comunque le nostre migliori risorse stanno lavorando a questo problema”.

La vicenda di WannaCry ha fatto ulteriormente aumentare le diffidenze delle grandi aziende della Silicon Valley nei confronti del governo statunitense, iniziate quando la precedente amministrazione Obama chiese di avere a disposizione strumenti per decifrare le comunicazioni su smartphone e altri dispositivi, nel caso di indagini per la sicurezza nazionale. Tra le proposte era circolata quella di chiedere alle aziende informatiche di creare sistemi secondari di accesso (“backdoor”), con garanzie da parte dell’intelligence di mantenerle segrete e usarle solo per le indagini. Un accordo non fu mai trovato e ora le aziende informatiche hanno nuovi e credibili elementi per rifiutarsi di farlo, considerata la quantità di informazioni riservate che sono state facilmente sottratte e rese pubbliche, portando alla creazione di WannaCry.

I più critici ricordano che, se la NSA avesse avvisato da subito Microsoft dell’esistenza della falla di sicurezza che ha reso possibile WannaCry, ci sarebbe stato molto più tempo per distribuire un aggiornamento di sicurezza ed evitare la rapida diffusione del ransomware. Anche in seguito ad alcune modifiche volute da Obama nel 2015, la NSA finora ha dato nel 91 per cento dei casi informazioni alle aziende sulle falle di sicurezza nei loro software per risolverli il prima possibile. Nel restante 9 per cento, la NSA ha trattenuto per sé le informazioni, per costruire virus che possano essere sfruttati per spionaggio e diretti verso particolari obiettivi.