15 maggio – Vladimir Putin

js115008758_afp_russian-president-vladimir-putin-address-large_trans_nvbqzqnjv4bqgsao8o78rhmzrdxtlqbjdgtt0gk_6efzt336f62ei5u
 foto via Telegraph.co.uk

“I malware creati dalle agenzie di intelligence possono ritorcersi contro gli stessi creatori”

Vladimir Putin

Il Presidente russo Vladimir Putin, in una conferenza stampa da Pechino, ha negato ogni possibile implicazione della Russia nel mega attacco hacker che, nel corso degli ultimi quattro giorni, ha colpito oltre 100 Paesi in tutto il mondo.

Nel corso della conferenza stampa, Putin ha tenuto a precisare che non ci sono stati danni alle istituzioni russe colpite dall’attacco informatico, compreso il sistema bancario centrale e l’assistenza sanitaria nazionale.

Il Presidente Putin, tuttavia, non si è limitato soltanto a negare il coinvolgimento russo, ma ha lanciato un’accusa pesante nei confronti degli Stati Uniti, i cui servizi segreti sarebbero secondo lui all’origine dell’attacco: “Per quanto riguarda la fonte di queste minacce, credo che la leadership di Microsoft abbia annunciato chiaramente che la fonte iniziale del virus sono i servizi di intelligence degli Stati Uniti”.

Secondo le ultime stime, sarebbero circa 200.000 mila i computer infettati da “WannaCry”, il ransomware che a partire da venerdì 12 maggio sta colpendo i computer di tutto il mondo. Il ransomware è un tipo di malware che blocca le macchine che riesce a infettare e ne cripta tutti i dati presenti. Sugli schermi dei computer colpiti appare un messaggio che avverte che il sistema non può essere riavviato e che tutti i dati presenti si cancelleranno automaticamente in un tempo prestabilito, a meno che non venga pagata una certa somma. Si tratta di un vero e proprio riscatto elettronico (ransom in inglese significa, appunto, riscatto), che deve essere pagato in bitcoin, la moneta digitale non rintracciabile.

3500-ks6f-u43320170213220lod-1224x916corriere-web-sezioni-593x443
 foto via Corriere.it

Nella sola giornata di venerdì, WannaCry aveva colpito almeno 99 Paesi, spingendo l’Europol ad affermare: “l’attacco è a livelli senza precedenti e richiede un’indagine internazionale”.

“Ancora non sappiamo chi ci sia dietro l’attacco hacker” aveva dichiarato Amber Rudd, Ministro dell’Interno inglese. Il Regno Unito è stato uno dei Paesi più colpiti, con l’intero sistema sanitario nazionale andato in blocco completo. Le strutture sanitarie inglesi avevano invitato chiunque non avesse ferite gravi o urgenze a recarsi nei pronto soccorso, impossibilitati all’accettazione dei pazienti. Inoltre, il tilt informatico aveva provocato il dirottamento di diverse ambulanze, che erano state guidate verso indirizzi sbagliati, e la chiusura dello stabilimento Nissan di Sunderland.

Nel resto d’Europa si era assistito al blocco dei computer di Telefonica in Spagna, di Portugal Telecom, degli stabilimenti Renault in Francia e di Deutsche Bahn, il sistema ferroviario tedesco. In Russia, invece, erano state accertate intrusioni nei computer della Banca Centrale russa e del Ministro dell’Interno.

A livello mondiale, l’attacco hacker aveva bloccato molti computer adoperati dalla polizia indiana con sistema operativo Windows, il colosso americano della logistica FedEx e alcune facoltà universitarie a Pechino e nel resto della Cina.

cartina-virus-k7ic-u43320196060968dlh-593x443corriere-web-sezioni
 foto via Corriere.it

 

Un ricercatore di sicurezza informatica, conosciuto su Twitter come @malwaretechblog, grazie all’aiuto del collega Darien Huss, impiegato della compagnia di sicurezza californiana Proofpoint, aveva trovato il modo di bloccare l’attacco. I creatori del ransomware avevano incorporato nel virus un sistema per bloccarlo all’occorrenza.  Come riporta il Guardian, il 22enne “eroe accidentale”, studiando le caratteristiche del virus, aveva osservato che si connetteva a un dominio specifico, che però non era registrato. WannaCry verificava l’esistenza del dominio e, nel caso l’avesse trovato attivo, si sarebbe bloccato. Il ricercatore, preso atto di questa scoperta, ha acquistato il dominio per circa 10 dollari, bloccando di fatto l’attacco.

Nella giornata di oggi, con la riapertura di uffici e attività lavorative, gli esperti avevano avvertito di una possibile nuova escalation degli attacchi informatici. Se in Europa la situazione è rimasta sotto controllo, lo stesso non si può dire per l’Asia. In Cina, sono circa 18.000 gli indirizzi IP infettati, mentre in Giappone sia il colosso industriale Hitachi che quello ferroviario East Japan Railway sono finiti nel mirino del ransomware.

Nella giornata di ieri, il Presidente di Microsoft, Brad Smith, aveva rilasciato una nota per spiegare quanto accaduto, dal punto di vista della società. Infatti, tutti i sistemi operativi colpiti da WannaCry appartengono proprio a Microsoft. Il ransomware sfrutterebbe alcune vulnerabilità di questi sistemi operativi grazie a Eternal Blue, una cyber arma svluppata dalla National Security Agency (Nsa).

Secondo alcune fonti, Eternal Blue sarebbe stata sottratta ai servizi segreti americani lo scorso aprile, in coincidenza con il bombardamento dei Tomahawk alla base siriana di Shayrat, dal gruppo hacker denominato Shadow Brokers. Ed è proprio sul collegamento tra l’origine di WannaCry e i servizi di intelligence americani che Vladimir Putin ha insistito oggi nella conferenza stampa.

Nella sua nota, lo stesso Smith ha detto: “Abbiamo visto le vulnerabilità sviluppate dalla CIA apparse su Wikileaks, e ora questa vulnerabilità rubate alla NSA hanno colpito tutto il mondo. Ripetutamente, exploit nelle mani dei governi sono trapelate pubblicamente e hanno causato danni ingenti. Uno scenario equivalente con armi convenzionali sarebbe se all’esercito degli Stati Uniti venissero rubati alcuni suoi missili Tomahawk”.

In realtà, le vulerabilità dei sistemi Windows erano state corrette con un aggiornamento della sicurezza dei sistemi operativi, che conteneva una patch chiamata MS17-010, scaricabile gratuitamente. Poiché su molti computer non erano stati effettuati gli aggiornamenti suggeriti, WannaCry ha potuto colpire industurbato e danneggiare le macchine in oltre 100 Paesi.

Questa vicenda ricorda, in parte, quella di Stuxnet, il celeberrimo virus creato dall’Nsa in collaborazione con l’unità 8200 dei servizi segreti israeliani, con lo scopo di sabotare e mettere definitivamente fuori uso le centrifughe nucleari iraniane. Di fatto, Stuxnet riuscì a neutralizzare temporaneamente oltre 1.000 delle 5.000 strutture nucleari di Teheran. Tuttavia, il virus si diffuse ben oltre quanto previsto dai suoi creatori e si comportò anche in maniera più aggressiva del previsto, infettando migliaia di computer e macchine in tutto il mondo.

Oggi, sul sito della Polizia di Stato italiana, è stato pubblicato un vademecum sia su come prevenire che su come difendersi da un attacco ransomware, limitandone i danni al computer e ai dati in esso contenuti. Il pericolo maggiore è che nuove versioni del virus possano essere rilasciate a breve: si parla, infatti, già di un “WannaCry 2.0” che potrebbe essere attivo fin da oggi.

Rispondi