Forse lo ricorderete: nel giugno 2017 centinaia di migliaia di computer in Europa, America e Asia furono colpiti da uno degli attacchi informatici più aggressivi della storia, condotto attraverso uno dei malware più avanzati mai realizzati. Bersaglio degli hacker furono soprattutto le reti e i sistemi di medie e grandi aziende tra le quali TNT, Reckit-Benkiser, Maersk e molte altre hanno.
I malintenzionati hanno colpito le macchine delle vittime con un ransomware, un programma che dopo aver infettato i computer bersaglio, ne cancella tutto il contenuto a meno che il proprietario non accetti di pagare un riscatto. Secondo le stime NotPetya, questo il nome del ransomware, è costato alle aziende oltre 1 miliardo di euro, tra somme pagate e danni alle attività produttive.
Chi è il cattivo? Ma chi c’era dietro questo atto di vero e proprio terrorismo informatico? La Casa Bianca non ha dubbi e lo scorso 15 febbraio ha pubblicamente accusato la Russia di Putin di essere il mandante dell’attacco. Accanto a Trump si è schierato anche Gavin Williamson, Segretario alla Difesa del Regno Unito, che ha minacciato pesanti ritorsioni contro Mosca.
A far sospettare del Cremlino è soprattutto il fatto che il maggior numero di attacchi di NotPetya si sia registrato in Ucraina: i rapporti tra i due Paesi si sono infatti definitivamente incrinati nel 2014 dopo che Mosca ha unilateralmente deciso di annettere la Crimea ai propri territori.
Cina contro Resto del Mondo ShadyRAT è un virus trojan scoperto da Symantec nel 2011 ma attivo già dal 2006. Arrivato via email come allegato infetto dal nome potenzialmente innocuo (budget2008.xls, list_update.pdf, ecc) una volta aperto si installava nel PC dell’ignaro utente, trasformandolo in una macchina "zombie" pronta a eseguire ordini impartiti da remoto.
In particolare ShadyRAT rubava documenti e files contenuti nel computer ospite inviadoli al suo creatore.
Il malware ha colpito e infettato macchine e reti in 72 grandi organizzazioni di 14 paesi, tra cui le Nazioni Unite, alcuni contractor del settore difesa e il Comitato Olimpico Internazionale.
Alcune similitudini tra il codice di ShadyRAT e quello di altri attacchi informatici isolati in quegli anni (Operation Aurora e Night Dragon in particolare) hanno convinto gli esperti che il virus fosse stato messo a punto in ambienti governativi cinesi.
Foto: © Symantec
Nato (?) contro Russia Red October è un malware dal funzionamento simile a quello di ShadyRAT, scoperto da Kaspersky nel 2013. In un report pubblicato dagli esperti di sicurezza dell’azienda si legge “Gli attaccanti hanno creato un malware unico e flessibile, in grado di rubare dati e informazioni geopolitiche dai computer infettati, dai telefoni cellulari e dagli apparati di rete”.
Red October, all’epoca diffuso soprattutto in Russia e in Kazakhstan, aveva preso di mira enti governativi, banche e grandi aziende e il suo codice presentava tracce di software utilizzato in ambienti militari della NATO e dell’Unione Europea.
Il malware, che arrivava nascosto in documenti Word o Excel, inviava le informazioni rubate dai computer bersaglio a una ventina di server sparsi in tutto il mondo. Una volta portata alla luce l’operazione, l’intera rete è stata spenta e disattivata, rendendo di fatto impossibile risalire ai mandanti.
Foto: © Kaspersky Lab
Cina contro Occidente Una mail come esca, l’invito a cliccare su un link infetto e migliaia di computer colpiti: è, in estrema sintesi, la storia di APT1, un malware di fabbricazione cinese che tra il 2006 e il 2013 ha fatto incetta di dati e informazioni sensibili sulle reti di enti, aziende e istituzioni dei paesi occidentali.
Secondo gli esperti di Mandiant, l’azienda specializzata nella sicurezza informatica che lo ha identificato nel 2013, APT1 è stato messo a punto nei laboratori dell’Unità 61398, il reparto dell’esercito cinese che si occupa di spionaggio digitale.
Latinos (?) contro Resto del Mondo Identificato nel 2014 da Kaspersky, Mask (o Careto) è uno dei più evoluti malware per lo spionaggio mai rilevati.
In azione dal 2007, è sopravvissuto indisturbato a generazioni di antivirus grazie a un trucchetto digitale: il software utilizzava infatti una firma elettronica falsa, che lo qualificava come programma “innocuo” ai controlli dei più noti e diffusi programmi di protezione.
Era in grado di infettare qualunque sistema operativo, compresi iOS e Android, e di intercettare ogni tipo di comunicazione, dalle email alle conversazioni su Skype. Ha colpito i sistemi di 380 tra enti governativi e aziende e secondo gli esperti è così sofisticato che può essere stato realizzato solo in ambienti di intelligence.
I suoi programmatori non sono mai stati identificati, ma alcune particolarità del codice fanno pensare a una produzione in paesi di lingua spagnola.
Ignoti contro Tutti Duqu è uno dei più insidiosi malware mai realizzati: identificato nel 2011 dall’Università di Budapest, è scritto in un linguaggio di programmazione sconosciuto. Colpisce i grandi computer industriali utilizzati per controllare le attività nevralgiche di un paese: dai sistemi di distribuzione dell’energia a quelli che controllano i trasporti o le comunicazioni.
Arrivava nei computer bersaglio mascherato da font all’interno di un documento Word: per attivarlo era sufficiente aprire l’allegato.
Il suo scopo non era quello di distruggere le infrastrutture ma rubare dati: il bersaglio di Duqu erano i certificati digitali, cioè quell’insieme di credenziali che permettono a un software di qualificarsi come “buono” presso un computer ospite. Le informazioni venivano esportate nascoste all’interno di un file jpg.
I creatori di Duqu cercavano insomma di procurarsi le chiavi per accedere in futuro a quegli stessi sistemi per metterli KO.
Israele contro Iran Scoperto nel 2012 dalle unità di cyber sicurezza del Governo Iraniano, Flame venne definita dagli esperti come la più sofisticata arma digitale prodotta fino ad allora.
Colpiva i computer con sistema operativo Windows e poteva diffondersi attraverso chiavette USB infettate o attraverso reti locali. Era in grado di catturare le schermate visualizzate dagli utenti, di registrare le conversazioni su Skype e di rubare ogni tipo di documento.
Flame poteva trasformare ogni computer dotato di Bluetooth in una spia silenziosa in grado di intrufolarsi in smartphone e tablet con la stessa tecnologia per sottrarre dati, sms, email e altre informazioni.
In pochi mesi ha colpito i sistemi di numerose organizzazioni governative e finanziarie in tutto il Medio Oriente: progettato per infiltrarsi nei computer bersaglio sotto forma di documento AutoCad, PDF o testuale, presenta schemi e strutture tipiche dei software sviluppati in Israele.
Russia (o Iran) contro USA Nel 2010 il Segretario americano alla Difesa William Lynn III ha rivelato al Congresso che qualche mese prima i sistemi del CentCom, la più avanzata unità per la guerra elettronica del Governo a stelle e strisce, era stata messa in ginocchio da un malware.
Il software si era inflitrato nella rete militare dal computer di una base americana in Medio Oriente nel quale era stata inserita, da un soldato distratto, una chiavetta USB infetta trovata in un bagno pubblico nei pressi della struttura. L’origine dell’attacco era stata fatta risalire ai servizi di intelligence ex sovietici.
Una volta ripuliti i sistemi il Pentagono è corso ai ripari, bloccando l’accesso alle porte USB di tutte le sue macchine.
Foto: © Chris Yarzad / Flickr
Usa contro Iran Nel 2010 un potente malware, Stuxnet, mette in crisi l’impianto nucleare di Natanz, in Iran: le centrifughe che raffinano l’uranio impiegato nel reattore impazziscono, rendendo il minerale del tutto inutilizzabile. Nessun sistema di allarme aveva segnalato agli operatori della centrale il malfunzionamento.
Stuxnet era stato inoculato nella rete informatica di questa struttura iperprotetta da una penna USB infetta, sfruttando una vulnerabilità di Windows. Il malware era in grado di riprogrammare i computer industriali della Siemens utilizzati a Natanz in maniera del tutto silenziosa e invisibile.
Si tratta di una vera e propria arma elettronica che secondo le rivelazioni di Edward Snowden sarebbe stato sviluppato dall’NSA, l’agenzia per la sicurezza nazionale del governo americano, con la collaborazione dell’intelligence israeliana.
Mosca dice no. La Russia però nega ogni coinvolgimento e, tramite il portavoce ufficiale di Putin, Dmitry Peskov, fa notare come anche diverse aziende russe siano state vittime dell’attacco.
Secondo gli esperti di sicurezza informatica il ransomware è una delle forme di cyber attacco in più rapida crescita. NotPetya si diffonde sfruttando una vulnerabilità dei sistemi operativi della famiglia Windows: secondo le indagini condotte da ESET, casa produttrice di software antivirus, l’attacco è partito dai server di M.E.Doc, un programma molto diffuso in Ucraina per la gestione dei pagamenti delle tasse.
Da qui, con varie tecniche tra cui il furto delle password digitate dagli utenti, si è diffuso in tutto il mondo passando da una rete all’altra.
Chirstiaan Beek, esperto di sicurezza di McAfee, un'altra azienda che produce antivirus, ha spiegato come il ransomware sia stato concepito per mettere in ginocchio i sistemi informatici di banche, aeroporti, gestori di energia elettrica e di altre grandi infrastrutture di base.
Non per soldi. Per liberarsi di NotPetya era sufficiente versare 300 dollari in bitcoin su un wallet criptato.
La modesta entità del riscatto, e il fatto che il pagamento venisse richiesto sempre sullo stesso conto cifrato, ha fatto pensare a diversi specialisti che il vero obiettivo del ransomware non fosse quello di arricchire i suoi creatori, ma piuttosto quello di creare scompiglio e bloccare le infrastrutture informatiche di interi Paesi.
