X

Petya - ExPetr: storia di un attacco di Stato travestito da ransomware

Quello che poteva sembrare un futuro lontano e più adatto a film e libri è invero già realtà attuale e in rapida evoluzione. L'uso delle cyber-armi sta crescendo e diventa ogni giorno più importante; dalle elezioni fino agli attacchi a sistemi specifici, ogni giorno la guerra si sposta maggiormente verso il cyberspazio. E Petya è solo l'ultimo tassello di un puzzle la cui complessità aumenta ogni momento. Numerosi sono i casi di cyber-armi di cui il pubblico è in qualche modo arrivato a conoscenza negli scorsi anni, come ad esempio STUXNET, e questi software hanno mostrato quale fosse la direzione che gli eventi avrebbero preso. Petya - o, meglio, ExPetr - rientra pienamente nella definizione di cyber-arma, visti i risultati che ha prodotto e il fatto che è stato usato con fini geopolitici. ExPetr sfrutta un meccanismo di attacco simile a quello di WannaCry: anche in questo caso vengono sfruttati gli exploit EternalBlue ed EternalRomance, ma sfrutta anche il sistema di aggiornamento di un programma ucraino chiamato MeDoc e utilizzato per gestire i pagamenti delle tasse. L'infezione di ExPetr è iniziata proprio in Ucraina, Paese che sta attraversando una fase di forti tensioni sia interne che sul piano internazionale. Inizialmente è stato dipinto come un ransomware: il messaggio che riportava chiedeva infatti il pagamento di 300$ in Bitcoin perché fosse possibile decifrare i file sul computer, precedentemente criptati dal software malevolo. Tale messaggio è, però, uno specchietto per le allodole. Come riportato da più fonti, incluso Kaspersky, ExPetr mostra tale messaggio senza in realtà aver la capacità di decifrare i dati. ExPetr: non un ransomware ma un wiper per fare il massimo danno possibile Il compito di ExPetr è infatti quello di rendere inaccessibili tutti i dati presenti sul disco, di fatto classificandosi come wiper. Precedenti casi, come appunto Petya, prevedevano che il software creasse un ID di installazione che contenesse la chiave di decifrazione; ExPetr, al contrario, non crea un ID di installazione tramite il quale sia possibile risalire alla chiave - ciò che viene mostrato a schermo è una semplice stringa alfanumerica generata casualmente. È evidente, quindi, che non fosse nelle intenzioni dei creatori del software permettere alle vittime di recuperare i dati, ma solo causare il massimo danno possibile. In un certo senso, si potrebbe paragonare un attacco come quello di ExPetr all'uso di una bomba atomica o di un'arma batteriologica: chi porta avanti l'attacco ha la volontà di apportare soltanto danni estremi senza lasciare possibilità di recupero e puntando, anzi, a causare danni anche a ciò che sta intorno alla sede principale dell'attacco senza danneggiare realtà più distanti. Il software è stato scritto per propagarsi solo a livello locale e non tramite Internet: questo è il motivo per cui l'infezione non è stata diffusa in tutto il mondo come avvenuto con WannaCry, ma è stata localizzata in Ucraina e ha avuto minore diffusione in Russia, Polonia, Italia e Germania. Come specificato da David Grout, pre-sales director per l'Europa meridionale presso FireEye, i Paesi colpiti hanno vicinanza geografica all'Ucraina o hanno legami con essa. Molte aziende russe e polacche operano nel Paese, ad esempio, e questo è il motivo per cui sono state colpite da ExPetr. A causa del recente attacco di WannaCry, e viste le dinamiche simili, si è pensato ad un attacco paragonabile. La realtà è, però, totalmente diversa, ma la necessità di narrare i fatti da parte dei media e di dare un primo riscontro da parte delle aziende specializzate ha portato alla diffusione di informazioni non corrette nel corso degli scorsi giorni. Solo dopo qualche giorno dall'inizio dell'attacco si è scoperto il reale funzionamento di ExPetr, la portata dell'attacco e il suo scopo. Ci sono tutti gli elementi per considerare ExPetr come un attacco da parte di uno Stato sovrano Questo non è un dettaglio ininfluente e la sua specificazione non vuole essere un'attribuzione di colpa: come fa notare Matt Suiche in un post sul suo blog, il fatto che ExPetr sia stato mascherato da ransomware è probabilmente dovuto proprio alla volontà di sviare i media dalle vere intenzioni degli attaccanti. ExPetr ha le sembianze di un attacco da parte di uno Stato ai danni di un altro e chi ha eseguito l'attacco ha cercato di mascherarsi e di guidare la narrazione degli eventi - con un successo durato qualche giorno. È possibile affermare che ExPetr sia stato utilizzato con fini geopolitici per via di alcuni fatti verificatisi in corrispondenza dell'attacco: non solo si è festeggiato il terzo anniversario dell'accordo di associazione all'Unione Europea del Paese e la Giornata della Costituzione, ma il capo dell'intelligence è stato ucciso tramite una bomba all'inizio dell'attacco informatico. Le coincidenze sembrano troppo evidenti per essere solo tali. Grout afferma che questo è un caso di attacco deliberato ad uno Stato sovrano. Il problema è stabilire la responsabilità degli attachi: al momento è molto difficile risalire all'origine degli attacchi e questo rende molto difficile reagire. Se con le armi convenzionali è spesso possibile risalire a chi abbia premuto il grilletto o sganciato la bomba, seppur non sempre con facilità, con le armi informatiche questo compito è titanico. Gli attacchi futuri non si potranno evitare, l'unica arma a disposizione è la proattività Secondo Grout il fatto che ExPetr abbia potuto agire sfruttando le stesse vulnerabilità già colpite da WannaCry è da imputare alla scarsa velocità di reazione di imprese e organizzazioni: se infatti i singoli possono avere una buona cultura della sicurezza ed essere attenti a installare aggiornamenti e patch, non sempre le organizzazioni riescono a rimanere al passo per via delle onerose procedure interne. Mauro Papini, country manager di Acronis in Italia, fa notare che "il rumore ottenuto sui media alla lunga genera contromisure", e proprio la reattività e la velocità di azione dovranno essere tra i parametri fondamentali per proteggersi da futuri attacchi. ExPetr si inserisce dunque in un contesto complesso e ha il merito di (ri)portare alla luce un tema importante come quello dell'uso a fini bellici della tecnologia. Con la tecnologia in continua evoluzione, ci saranno notevoli cambiamenti sia in termini di prevenzione che di attacco. La cosa sicura è, come ha affermato Grout durante la conclusione dell'intervista, che non sarà possibile fermare gli attacchi e l'unico modo per contrastarli sarà rendersi proattivi.
Assistenza
Remota
X

Assistenza Remota

Centro Computer fornisce ai propri clienti assistenza remota su richiesta, in modo semplice e veloce. Basta connettersi con un semplice programma per ricevere supporto tecnico immediato, senza interrompere per lungo tempo la vostra attivita' lavorativa.