Aggiornamenti recenti Ottobre 4th, 2024 9:00 AM
Mar 09, 2018 Marco Schiaffino Attacchi, In evidenza, Malware, News, RSS, Scenario, Tecnologia 1
Quando si parla con un esperto di sicurezza, una delle prime cose che si scoprono è quanto sia difficile capire chi ci sia esattamente dietro un attacco informatico. Se questo vale per le azioni portate a termine dai comuni criminali, è ancora più vero quando dietro i cyber-attacchi si nasconde un gruppo legato in qualche modo a servizi segreti o enti governativi.
Il caso di Olympic Destroyer, il malware che ha funestato la cerimonia inaugurale delle Olimpiadi invernali, ne è la dimostrazione migliore. Il worm, secondo i ricercatori di Kaspersky, sarebbe un esemplare caso di depistaggio.
Facciamo un passo indietro. L’attacco nei confronti dei giochi di Pyeongchang aveva preso di mira le infrastrutture informatiche usate dagli organizzatori, mettendo K.O. il sistema televisivo della sala stampa proprio durante l’inaugurazione dei giochi e rendendo irraggiungibile anche il sito Internet ufficiale del l’evento.
Immediatamente dopo aver respinto l’attacco, l’attenzione degli esperti di sicurezza si è rivolta all’individuazione dei possibili responsabili. L’opinione comune emersa nei giorni seguenti era che dietro l’attacco (tanto per cambiare) ci fosse il solito gruppo Fancy Bear e, di conseguenza, la Russia.
In alternativa, i ricercatori hanno puntato il dito contro il gruppo Lazarus (che la maggior parte degli esperti di sicurezza considerano legato alla Nord Corea) o la Cina.
A orientare i ricercatori in questa direzione sono state alcune similitudini (vere o presunte) con malware associati ai vari gruppi che sono stati individuati in passato.
Il rischio false-flag
Come sanno benissimo gli esperti del settore, l’abitudine dei ricercatori di attribuire un attacco sulla base di similitudini tra il codice di un malware e quello di altri esemplari individuati in passato, in realtà, è un’arma a doppio taglio.
Quando un pirata informatico vuole evitare di essere individuato, infatti, di solito sfrutta questa attitudine per depistare i ricercatori inserendo un “false flag”, cioè un falso indizio. Per farlo è sufficiente copiare il modus operandi di un gruppo conosciuto. Esattamente come potrebbe fare un assassino che volesse attribuire il suo delitto a un celebre serial killer.
In ambito informatico è tutto più facile: considerato che le tecniche di attacco vengono studiate e le analisi pubblicate su Internet (spesso accompagnate da porzioni di codice dei malware in circolazione) ai cyber-criminali basta copiarle per fare in modo che i loro attacchi siano attribuiti a qualcun altro.
Capiamoci: i ricercatori sono perfettamente consapevoli di questa possibilità e, di solito, ci vanno giù con i piedi di piombo prima di sbilanciarsi sull’attribuzione di un attacco. In alcuni casi, però, le cose sono così complicate da rendere il tutto davvero molto difficile.
Indizi e similitudini
Come spiegano i ricercatori Kaspersky in un dettagliato report, il malware usato per attaccare i Giochi Olimpici aveva similitudini con un malware distribuito poco tempo prima in un documento Word che utilizzava il vecchio trucco di richiedere l’abilitazione del contenuto per avviare il codice malevolo.
Analizzando il malware, i ricercatori sono risaliti a un server argentino, il cui utilizzo è stato acquistato tramite una società bulgara da un cliente con residenza in Norvegia. Abbastanza complicato?
L’analisi dei ricercatori approfondisce le similitudini tra di due attacchi e riporta anche alcuni dati provenienti dai sistemi informatici di una struttura di accoglienza di Pyeongchang che, secondo gli studi di Kaspersky, sarebbe il “paziente zero” dell’attacco.
La ricostruzione riassunta nei post sui siti della società di sicurezza è estremamente complessa (leggerla vale davvero la pena) e permette di capire quanto possa essere difficile seguire un “filo rosso” in questi casi. La parte più appetitosa, però, riguarda la struttura stessa del codice e le similitudini che molti esperti di sicurezza hanno considerato un indizio del coinvolgimento di gruppi hacker già conosciuti.
False prove inserite ad arte
Le indagini dei ricercatori Kaspersky, a un certo punto, sono arrivate a una svolta decisiva. Utilizzando i loro strumenti di analisi si sono trovati di fronte a un elemento che avrebbe collegato l’attacco inequivocabilmente al gruppo Lazarus, collegato alla Corea del Nord.
Lo strumento in questione, che gli analisti di Kaspersky usano per individuare similitudini tra il codice utilizzato nei vari esemplari, non lasciava dubbi indicando il 100% di probabilità che l’autore fosse lo stesso.
Le cose, però, non stavano esattamente così. Quando i ricercatori hanno esaminato manualmente le porzioni di codice in questione, si sono resi conto che il codice non era uguale, era semplicemente scritto in modo che la sua “impronta” corrispondesse perfettamente con quella del gruppo Lazarus.
L’analisi approfondita di questi aspetti (consultabile su questa pagina Web) ha portato i ricercatori a credere che gli autori di Olympic Destroyer, in realtà, si siano dati un gran da fare per fare in modo che gli esperti pensassero che il malware fosse stato creato dal gruppo Lazarus, ma che in realtà i responsabili siano altri.
Insomma: se la vicenda legata all’attacco di Olympic Destroyer è ben lontana da una soluzione, le nuove evidenze emerse dalle ricerche confermano che la cyber-guerrilla in atto su Internet si sta evolvendo in maniera esponenziale e le certezze che avevamo fino a qualche tempo fa cominciano a scricchiolare.
Ott 02, 2024 0
Set 30, 2024 0
Set 19, 2024 0
Ago 28, 2024 0
Ott 04, 2024 0
Ott 03, 2024 0
Ott 02, 2024 0
Ott 02, 2024 0
Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la NIS2...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 01, 2024 0
I ricercatori di ESET hanno scoperto che di recente il...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Set 24, 2024 0
Negli ultimi anni gli ambienti OT sono diventati sempre...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Ott 04, 2024 0
Fino a neanche un mese fa l’applicazione di ChatGPT...Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 02, 2024 0
Tra le minacce alla sicurezza aziendale, l’errore...Ott 02, 2024 0
I ricercatori di Bitsight TRACE hanno individuato alcune...
One thought on “Attacco alle Olimpiadi in Corea: nel malware falsi indizi messi ad arte?”