Nel cyber-spazio difficilmente la realtà è ciò che sembra e un attacco informatico, sebbene sia salito all’onore delle cronache per la portata planetaria e i grandi danni causati, può nascondere molto di più che gli aspetti strettamente tecnologici o quelli criminali e il caso di WannaCryptor non fa eccezione.
In generale, qualora ci si imbatta, più o meno casualmente, in una vulnerabilità di sicurezza di un sistema informatico, si può reagire in due modi assai diversi. I “bravi ragazzi” condividono ciò che hanno scoperto con le società produttrici, gli sviluppatori, le società di sicurezza o le istituzioni. Possono farlo sia in maniera gratuita sia a seguito di lecito compenso. I “cattivi ragazzi”, invece, tengono ben nascosta la vulnerabilità scoperta e la sfruttano per lanciare un attacco informatico o la immettono sul mercato nero affinché altri ne possano trarre vantaggio. In questo caso i guadagni non sono certo leciti. Con WannaCryptor sono successe entrambe le cose e si è scatenato il pandemonio: più di 200.000 computer infettati in tutto il mondo, resi inutilizzabili contemporaneamente. WannaCryptor ha causato seri problemi soprattutto perché ha mietuto moltissime vittime anche tra i computer aziendali, in alcuni casi impiegati per il controllo dei processi industriali. Quindi, si è trattato di un vero e proprio disastro, anche se i segnali che sarebbe successo qualcosa del genere c’erano stati eccome e anche noi, nel nostro piccolo, lo avevamo scritto a inizio anno (v.articolo). Dopo il polverone mediatico che ne è seguito, proviamo a capire cosa è successo, perché quella di WannaCryptor è solo in apparenza una semplice storia di un attacco informatico ben riuscito.
Quasi un anno fa, nell'agosto del 2016, irruppe nel panorama dei gruppi di hackers un nuovo soggetto, che affermava di lottare per un mondo finalmente libero dalla globalizzazione: “The Shadow Brokers”. Il gruppo di hackers, spuntato dal nulla, entrò in scena attribuendosi la paternità di un vero “colpaccio”: essere riuscito a trafugare materiale scottante appartenente ad un altro gruppo di hackers, noto come “Equation Group” e ritenuto essere legato alla National Security Agency (NSA) statunitense. Subito dopo, iniziarono a circolare informazioni sul materiale rubato, ovvero vulnerabilità informatiche e strumenti di hacking riconducibili all’agenzia di intelligence che, una volta analizzato, indusse gli esperti a ritenerlo autentico. Non solo: un primo rilascio di materiale, una sorta di “assaggio”, dimostrò che The Shadow Brokers facevano sul serio. Successivamente, il gruppo mise all'asta l'intero pacchetto, tuttavia, non avendo raggiunto i propri obiettivi finanziari dopo mesi di rilanci, i cattivi ragazzi si sono trasformati in “bravi”. L’8 aprile il gruppo ha fornito gratuitamente le chiavi per accedere a parte del “bottino”, quale ritorsione al controverso attacco USA a suon di missili Tomahawk (59) alla base siriana di Shayrat (v.articolo). Poco dopo, il 14 aprile, The Shadow Brokers ha consentito il libero accesso all’intero pacchetto e quello che emerse immediatamente è che esso conteneva un malware, DoublePulsar, che sfruttava una grave vulnerabilità di sicurezza dei sistemi operativi Microsoft Windows sia client sia server, nota come EternalBlue. In pratica, essa era la “porta di ingresso” nei computer, mentre DoublePulsar, una volta installato grazie a Eternal, era in grado di scaricare altri malware e di infettare autonomamente altri computer in rete. Microsoft, in realtà, aveva già rilasciato l'aggiornamento di sicurezza per i suoi sistemi operativi un mese prima. Quindi una storia a lieto fine? Tutt'altro. Ad aprile i destini di The Shadow Brokers e WannaCryptor si sono fatalmente incrociati: l'aggiornamento Microsoft non era stato ancora installato da parte di migliaia di utenti e da qualche mese stava facendo parlare di sé una nuova generazione di ransomware particolarmente odiosa: i crypto worm.
In generale, i crypto worm sono capaci di replicarsi silenziosamente in rete, partendo da un singolo computer infettato, finché, ad un certo momento, cifrano tutti i dischi, anche quelli rimovibili. Per ricevere la chiave per decifrarli occorre pagare un riscatto ma spesso la chiave non viene effettivamente fornita. In tale contesto, il 10 febbraio si registrò l’ondata di attacchi di un crypto worm all'epoca ancora sconosciuto e che causò seri problemi. Battezzato WannaCryptor, il nuovo malware fu attribuito al gruppo di hackers noto come Lazarus Group. Il successivo 27 marzo si registrò una seconda ondata di attacchi. Poi, come detto, ad aprile The Shadow Brokers rilasciò il codice di EternalBlue e il 12 maggio WannaCryptor, evidentemente modificato per sfruttare proprio quest'ultima vulnerabilità, ha colpito duro. È stato il panico: più di 200.000 computer bloccati in tutto il mondo e moltissime attività private, pubbliche e industriali compromesse. Pochi giorni dopo, sugli schermi dei computer colpiti sono apparse le istruzioni per pagare il riscatto, cosa che pare abbiano effettivamente fatto in pochi. Sorprendentemente, sembra che chi ha lanciato l'attacco non abbia prelevato il bottino dal conto corrente in bitcoin, indicato per il pagamento dei riscatti. Il motivo non è chiaro, comunque è scattata immediatamente una “caccia all'uomo” a livello planetario, che però ancora non ha portato a risultati concreti. Alcuni analisti puntano sulla pista cinese ma l'attribuzione di un attacco informatico è sempre cosa ardua e grazie alle rivelazioni di WikiLeaks (v.articolo) è ormai chiaro che sono disponibili strumenti per il depistaggio delle indagini.
Cosa rimane di questa intricata storia in cui si possono riconoscere elementi di tecnologia, spionaggio, politica internazionale, attivismo e criminalità? Sicuramente una volta di più dovrebbe essere chiaro che i sistemi operativi che acquistiamo, a volte a caro prezzo, non sono così sicuri come promettono. Inoltre, emerge come non ci preoccupiamo troppo di quali scegliamo di usare (le opzioni, malgrado quello che si vuole far intendere, sono molte) e soprattutto che non ci curiamo del loro continuo aggiornamento o che non provvediamo alla loro sostituzione quando sono ormai obsoleti. D'altra parte, però, alcuni produttori “sfornano” le nuove versioni dei propri sistemi operativi a ritmi che, evidentemente, in molti non si possono economicamente permettere sia che si tratti di singoli utenti privati sia nel caso di grandi organizzazioni pubbliche o private. Ad esempio, Windows XP dovrebbe essere ormai un ricordo e dovrebbe fare bella mostra di sé esclusivamente in un immaginario museo dell'informatica, invece la vicenda di WannaCryptor ha dimostrato che è utilizzato ancora da centinaia di migliaia di utenti in tutto il mondo. Ultima considerazione, che è anche quella più inquietante: ormai dovrebbe essere chiaro che esiste un serio problema di proliferazione di “armi cibernetiche”. Infatti, troppo spesso esse sfuggono al controllo di chi le ha create, che nella maggior parte dei casi è legato in qualche modo a un governo e finiscono nelle mani sbagliate. Insomma, il cyber-spazio assomiglia sempre più al mitico far west ma di sceriffi in gamba e onesti, se ne vedono assai pochi in paese. Intanto, ci sono già segnali che fanno presagire cyber attacchi ancor peggiori di WannaCryptor, quindi si salvi chi può.
Fonti:
http://www.wired.co.uk/article/nsa-hacking-tools-stolen-hackers
https://www.wired.com/beyond-the-beyond/2017/04/double-pulsar-nsa-leaked-hacks-wild/
https://www.symantec.com/security_response/writeup.jsp?docid=2017-051310-3522-99
https://www.google.it/amp/www.bbc.co.uk/news/amp/40085241
http://www.datamanager.it/2017/05/timori-fondati-eternalrocks-peggio-wannacry/
(foto: web)
