Diciamo, innanzitutto, che, come
al solito, il "main stream media trash" continua a confondere e a
sminuire l'etica dei "cappelli bianchi" chiamati comunemente HACKER. Personalmente,
penso che sarebbe stato più corretto fare riferimento ai CRACKER chiamati anche
"Black Hat Hacker”.
ATTACCO INFORMATICO? Penso che le
cose siano andate diversamente. Sarebbe più corretto dire che si tratta di una
semplice diffusione di un Malware (categoria Ramnsonware) su larga scala, determinata
dalla mancanza di sicurezza dell'Intelligence americana.
Sbagliato dire "attacco hacker" in quando non prende di mira nessuno in particolare. Per diffondere questo Malware sono stati utilizzati i classi canali noti da sempre: email contenenti un allegato infetto oppure un link ad un pagina web inviati in maniera massiva.
Sbagliato dire "attacco hacker" in quando non prende di mira nessuno in particolare. Per diffondere questo Malware sono stati utilizzati i classi canali noti da sempre: email contenenti un allegato infetto oppure un link ad un pagina web inviati in maniera massiva.
La disinformazione è evidente
anche con i media occidentali, come ad esempio la testata web telegraph.co.uk e
le tv italiane, che sostengono che la minaccia viene dalla Russia dimenticando
però di dire che è proprio questa a essere la nazione più colpita da Wannacry.
Per capire la genesi di Wannacry dobbiamo partire dal 2016 quando il gruppo di curiosoni malintenzionati chiamati "The Shadow Brokers" ha violato i server della National Security Agency (NSA, Agenzia per la Sicurezza Nazionale) rubando, di fatto, diversi strumenti abbastanza sofisticati (software exploit) utilizzati dagli Americani per lo spionaggio informatico verso aziende e governi di tutto il mondo.
Per capire la genesi di Wannacry dobbiamo partire dal 2016 quando il gruppo di curiosoni malintenzionati chiamati "The Shadow Brokers" ha violato i server della National Security Agency (NSA, Agenzia per la Sicurezza Nazionale) rubando, di fatto, diversi strumenti abbastanza sofisticati (software exploit) utilizzati dagli Americani per lo spionaggio informatico verso aziende e governi di tutto il mondo.
I materiali rubati sarebbero
collegati all'arsenale di "Equation Group", una squadra di
informatici al servizio del governo Americano che in passato avevano effettuato
operazioni di cyberwar (guerra informatica). Equation Group nel 2006, in
collaborazione con gli “amiconi” Israeliani, realizzò il Malware “Stuxnet” con
lo scopo di compromettere e rallentare il programma nucleare iraniano.
L'attacco informatico di "The
Shadow Brokers" fu progettato ed eseguito con l'obiettivo di trarre un
profitto monetario mettendo in vendita il materiale rubato per una cifra di
circa 6 milioni di dollari. I risultati dell'esito della vendita sembrano
essere incerti. Quello che è sicuro, invece, è che nel mese di aprile 2017 sono
stati annunciati e pubblicati su Wikileaks (Vault 7) diversi furti di materiale
custoditi nei server dell'NSA come documenti segreti e tecniche di
infiltrazione utilizzate dalla CIA.
Tra gli strumenti (exploit)
rubati in grado di superare le difese di sicurezza del sistema operativo
Windows, troviamo "Eternal Blue" utilizzato infatti come cuore del Ramnsonware Wannacry.
La diffusione su larga scala del
Malware Wannacry è quindi dovuta alla falla di sicurezza del sistema operativo Windows,
scoperta dagli Americani e tenuta segreta semplicemente per essere utilizzata
in caso di guerra informatica.
In questo contesto, l'NSA ha anche violato il
patto governativo chiamato "Vulnerability Equities Process", ossia
l'obbligo di comunicare le vulnerabilità dei software alle aziende
proprietarie. Sta di fatto che l'NSA ha comunicato la vulnerabilità (SMB Server
- 4013389) a Microsoft "in evidente netto ritardo".
È opportuno ora chiederci: se
l'NSA avesse comunicato a Microsoft la vulnerabilità quando l'ha scoperta, e
non quando l'ha perduta, tutto questo sarebbe successo?
Come possono gli autori del
Malware Wannacry progettare un sistema apparentemente sofisticato e poi
lasciare banalmente in chiaro le istruzioni per essere disattivato?
Come possono gli autori del Malware Wannacry non pensare alla "randomizzazione dei domini" per rendere più difficile la disattivazione?
Ci dobbiamo aspettare una
seconda versione del Malware più sofisticata?
Per concludere, i miei complimenti
al reparto Marketing di MalwareTech e al giovane 22 enne Darien Huss.
RIFERIMENTI:
https://www.nytimes.com/2017/05/12/world/europe/uk-national-health-service-cyberattack.html
https://cdn.securelist.com/files/2017/05/wannacry_03.png
https://www.rt.com/news/388228-wannacry-russian-railways-banks/
http://www.telegraph.co.uk/news/2017/05/12/russian-linked-cyber-gang-shadow-brokers-blamed-nhs-computer/
https://nakedsecurity.sophos.com/2016/08/16/did-the-shadow-brokers-hack-nsa-cyberweapons-worth-500m/
https://www.youtube.com/watch?v=CbVeWjKsOy4
https://www.youtube.com/watch?v=9vgVvTBirpg
http://www.lastampa.it/2017/04/15/tecnologia/news/gli-attacchi-della-nsa-finiscono-online-a-rischio-alcuni-utenti-windows-e-banche-gqt1KTZJMBTvPYiZB0YGrM/pagina.html
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
https://cdn.securelist.com/files/2017/05/wannacry_03.png
https://www.rt.com/news/388228-wannacry-russian-railways-banks/
http://www.telegraph.co.uk/news/2017/05/12/russian-linked-cyber-gang-shadow-brokers-blamed-nhs-computer/
https://nakedsecurity.sophos.com/2016/08/16/did-the-shadow-brokers-hack-nsa-cyberweapons-worth-500m/
https://www.youtube.com/watch?v=CbVeWjKsOy4
https://www.youtube.com/watch?v=9vgVvTBirpg
http://www.lastampa.it/2017/04/15/tecnologia/news/gli-attacchi-della-nsa-finiscono-online-a-rischio-alcuni-utenti-windows-e-banche-gqt1KTZJMBTvPYiZB0YGrM/pagina.html
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/