Sicurezza

WannaCry: l’attacco hacker pilotato dalla Corea Del Nord. L’ipotesi dei ricercatori

Noti ricercatori ed esperti di sicurezza informatica sostengono che dietro l’attacco che ha coinvolto oltre 90 Paesi ci sia Pyongyang. Il codice del ransomware è identico a quello di una backdoor attribuibile ad un gruppo hacker Lazarus

La conferma arriva da un tweet di Matthieu Suiche, il quale ringrazia Neel Mehta, noto ricercatore di sicurezza di Google per aver trovato similitudini tra il codice di WannaCry e Backdoor.Contopee, una backdoor scovata il 15 febbraio 2016 da Symantec utilizzata dal gruppo hacker nordcoreano Lazarus per trafugare milioni di dollari dalla banca centrale del Bangladesh e per altri attacchi relativi al 2014 e 2015 sempre contro istituzioni finanziarie.

 

 

Che cos’era Contopee

Contopee è una backdoor che garantisce all’attaccante l’accesso da remoto ai sistemi target. In particolare la backdoor utilizzata dal gruppo nordcoreano, una volta aperta sul sistema compromesso, comunicava e inviava dati al server remoto “onlink.epac.to”. I dati scambiati erano di vario tipo, nome del computer, informazioni sul sistema operativo, sulla CPU, sul BIOS, sui file e sui processi. Inoltre era possibile eseguire azioni quali, creare cartelle, creare e fermare processi, scaricare, caricare, muovere e cancellare file. Praticamente avere un totale controllo del sistema attaccato.

Le somiglianze tra WannaCry e Contopee

Suiche “twitta” una foto che mostra la differenza tra le due versioni. Confronta il codice della prima versione di WannaCry con la versione di Contopee sottolineando il fatto che non vi siano differenze.

 

 

I ricercatori in queste ore avanzano numerose ipotesi rispetto alle origini di WannaCry. Sicuramente la scoperta di Mehta è una delle più gettonate per via del coinvolgimento della Repubblica Popolare Democratica di Corea, ma di fatto la versione in questione di WannaCry ( febbraio 2017) sembra essere embrionale e non rispecchiare le ultime versioni del ransomware .

I possibili scenari

I motivi dell’esistenza di questo codice identico possono essere due. Una  False Flag, ovvero una falsa attribuzione al gruppo hacker nordcoreano per depistare le indagini, oppure il codice può essere semplicemente stato copiato dalla backdoor Contopee e riutilizzato per WannaCry.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Imparare a guidare con la realtà virtuale e aumentata. Il progetto di Guida e Vai

Salvatore Ambrosino, cofondatore e direttore commerciale di Guida e Vai, ha ideato un nuovo sistema di insegnamento per preparare all’esame di teoria le nuove generazioni. I ragazzi potranno simulare con smartphone e visore le situazioni che potrebbero incontrare su strada

Hephaestus Venture, il fondo che porta le startup italiane in Brasile

Il fondo ha la missione di supportare le startup nei processi di internazionalizzazione verso il Brasile, un mercato emergente e in forte crescita, se si pensa che il 57.4% dei finanziamenti in America Latina si concentra in questo Paese.

Cyber-Diplomacy | Che cos’è e qual è il ruolo dell’Italia (nel G7)

Le relazioni internazionali sono chiamate ad avere un ruolo specializzato al Cyber Spazio e devono agire al suo interno per supportare il complesso di accordi e regole di carattere internazionale oggi ancora incompleto in proposito