Sicurezza

L’ipotesi della NATO sull’ultimo attacco: “NotPetya lanciato da un governo”

Mentre alcuni esperti archiviavano il caso come l’operazione di un gruppo di criminali informatici, all’interno della comunità di esperti si comincia a discutere con insistenza di una inquietante ipotesi, l’attacco NotPetya in realtà è l’azione di un governo

Il recente attacco su scala globale basato sul ransomware NotPetya ha dimostrato ancora una volta quanto siano vulnerabili sistemi industriali esposti in rete senza adeguate protezioni. Ancora una volta i sistemi di sicurezza di più paesi hanno fallito, soprattutto in presenza di una minaccia tecnicamente facile da mitigare alla luce del recente attacco WannaCry e della profonda conoscenza del vettore di attacco utilizzato, l’exploit EternalBlue.

Quel che più sorprende è tuttavia è la differente interpretazione dell’attacco da parte da parte degli esperti di sicurezza di tutto il mondo

Mentre alcuni esperti archiviavano frettolosamente il caso come l’operazione di un maldestro gruppo di criminali informatici, all’interno della comunità di esperti si comincia a discutere con insistenza di una inquietante ipotesi, l’attacco NotPetya in realtà è l’azione di un governo.

L’ipotesi NotPetya voluto dal governo

Ecco quindi che si discutono le anomalie del caso, ovvero il fatto che la modalità di pagamento del ransomware sia differente dalle consuete utilizzate da simili codici, così come del fatto che non vi sia possibilità da parte delle vittime di recuperare i file anche una volta pagato il riscatto. L’analisi oggettiva dei fatti mostra che il maggior numero di infezioni si è riscontrato in Ucraina, stato dal quale potrebbe esser parta l’offensiva. Esperti di Microsoft ed autorità Ucraine sono stati i primi ad individuare un potenziale vettore di infezione negli aggiornamenti di un software in uso nel paese, siamo quindi dinanzi al paziente zero.

È l’Ucraina il reale obiettivo dell’attacco?

Secondo i servizi segreti ucraini, l’attacco è un atto di terrorismo nei confronti del paese per questo motivo hanno richiesto la collaborazione nelle indagini da parte dell’FBI, dell’Europol e della NCA inglese. Premesso ciò si è passati all’analisi dei campioni del malware individuato. Il ricercatore Matt Suiche, fondatore della azienda Comae Technologies, ha spiegato che l’analisi condotta dal suo team sui campioni di Petya utilizzati nell’attacco ha rivelato le sue capacità distruttive.

«Abbiamo notato che l’implementazione del malware che ha infettato molteplici entità in Ucraina era in realtà quella di un wiper, ovvero di un sistema per la distruzione dei dischi delle macchine» afferma l’analisi pubblicata da Comae Technologies. «Crediamo che l’apparente comportamento da ransomware fosse in realtà una strategia diversiva da parte di uno governo che intende nascondere la reale natura distruttiva osservata in passato in altri casi per il malware Shamoon».

Gli aggressori hanno quindi usato una strategia diversiva per nascondere un attacco sponsorizzato da un governo straniero contro le infrastrutture critiche dell’Ucraina.

I ricercatori di Kaspersky che hanno analizzato il malware concordano sul fatto che NotPetya sia stato sviluppato per distruggere i sistemi che infetta.

Il malware ha infettato più di 12.000 dispositivi in ​​65 Paesi, colpendo sistemi industriali ed infrastrutture critiche.

L’ipotesi della NATO

Gli esperti della NATO ritengono che l’attacco sia stato probabilmente lanciato da un governo o che sia commissionato ad un attore non statale da parte di uno stato. Gli aggressori avevano a disposizione risorse necessarie ad orchestrare un attacco considerato complesso e costoso.

Gli esperti hanno osservato che, nonostante l’attacco presenti un livello di complessità considerevole, gli aggressori non hanno dedicato la necessaria attenzione alla gestione dei pagamenti, una circostanza che suggerisce che gli hacker non erano motivati ​​finanziariamente.

“I criminali informatici non sono dietro l’attacco, poiché il metodo per raccogliere il riscatto è stato così scarsamente progettato che il pagamento del riscatto stesso probabilmente non copre nemmeno i costi dell’operazione “, recita una nota stampa dalla NATO (CCD COE).

Questa dichiarazione potrebbe avere gravi conseguenze, l’attacco informatico potrebbe essere interpretato dai membri dell’alleanza come un atto di guerra che quindi può innescare una risposta militare ai sensi dell’articolo 5 del trattato Nord Atlantico, principi della difesa collettiva.

“L’attacco globale basato su NotPetya del 27 giugno 2017 che ha colpito molteplici organizzazioni in Ucraina, Europa, Stati Uniti e forse la Russia può essere attribuito ad un attore statale, ha concluso un gruppo di ricercatori del CCD COE. L’analisi delle recenti campagne su larga scala WannaCry e NotPetya solleva domande su possibili opzioni di risposta degli stati colpiti e della comunità internazionale “, ha scritto Tomáš Minárik, ricercatore presso il ramo della legge CED di COE della NATO .

“Poiché i sistemi governativi critici sono stati presi di mira, nel caso in cui l’operazione sia attribuita ad uno stato si potrebbe interpretare l’azione come una violazione della sovranità dello stato bersaglio. Di conseguenza, questo potrebbe essere un atto internazionale illegittimo, che potrebbe autorizzare gli stati vittima dell’attacco a valutare diverse opzioni per rispondere all’offensiva,”

La differenza tra WannaCry e NotPetya

Nonostante l’attacco WannaCry e NotPetya presentino molteplici similitudini, secondo i ricercatori della NATO, sono stati condotti da diversi attori malevoli.

“Poiché la finalità estorsiva sembra essere solo una copertura negligentemente preparata, allora l’analisi sulla motivazione dietro l’attacco NotPetya dovrebbe essere condotta da altre prospettive. Anche se le medesime vulnerabilità sono state sfruttate da WannaCry e NotPetya, gli attori dietro questi due attacchi non sono probabilmente gli stessi. In entrambi i casi un possibile guadagno finanziario per gli aggressori è stato più che modesto. Tuttavia, è stato raggiunto un effetto, un attacco disruptivo su larga scala quasi globale, è quasi identico in entrambi i casi”. Continua il comunicato della NATO.

“NotPetya dimostra che dopo WannaCry, un altro attore ha sfruttato la vulnerabilità esposta dal gruppo Shadow Brokers. Inoltre sembra probabile che la campagna NotPetya, più complessa e distruttiva, sia una dimostrazione di forza e della capacità distruttiva acquisita da un governo”, ha concluso Lauri Lindström, ricercatore presso la NATO CCD COE Strategy Branch.

L’attribuzione di un attacco in un contesto come quello in cui ci si muove è difficile, proprio in considerazione delle possibili conseguenze

“WannaCry e NotPetya alimentano la discussione sulle possibili opzioni di risposta della comunità internazionale a simili attacchi. Il numero di paesi colpiti dimostra che gli aggressori non sono intimiditi dalla possibile investigazione condotta a livello mondiale in risposta ai loro attacchi. Questa potrebbe essere un’opportunità per le nazioni vittime di dimostrare il contrario avviando un’inchiesta speciale su larga scala” conclude il comunicato stampa.

L’incidente NotPetya sottolinea ancora una volta la necessità di dover disporre di un quadro normativo che regolamenti il comportamento degli stati nel cyber spazio e limiti la non proliferazione di armi cibernetiche.

Non dimentichiamo che tutto ha avuto inizio dalla disponibilità di un codice malevolo sviluppato dall’NSA e che le conseguenze potrebbero essere drammatiche se in luogo di EternalBlue si sfruttasse in futuro uno zero-day exploit.

 

Il motore di ricerca della moda cresce e aggiunge altre città | Papèm

La startup, guidata da Alberto Lo Bue e Carlo Alberto Lipari, dopo aver ricevuto il premio Endeavor ai MYllennium awards, ha annunciato che l’espansione non si fermerà fino a quando Papèm non sarà presente in ogni angolo di tutte le città

#rESTATE in città coi bambini: 5 cose da fare a…Bologna

Dalla mostra interattiva Bologna Experience, al ciclo di eventi “Un’estate alla scoperta dell’Orto Botanico“.  Dall’appuntamento alla Serre dei Giardini Margherita allo spettacolo Sandokan al Teatro Testoni. Tutte le attività culturali e scientifiche per chi resta in città con i bambini

Megaride, l’arma segreta Ducati: un software per ottimizzare le performance dei pneumatici in pista

Megaride, la startup di Flavio Farroni che analizza la salute dei pneumatici, stringe una partnership con Ducati per ottimizzare le performance in pista. Questa l’arma segreta che ha regalato a Dovizioso la vittoria nella gara austriaca della MotoGP?

Prodotti tech certificati in base alla (cyber) sicurezza | La proposta di Andrus Ansip

Il vicepresidente della Commissione europea pensa ad una rete di uffici di cybersecurity diffusi in tutti gli Stati dell’Unione, incentrati sulla certificazione delle misure di sicurezza informatica attuate dai prodotti