MONDO

Petya o Notpetya, attenti al virus

Per il nuovo attacco hacker globale, come per il precedente Wannacry, sfruttati i codici creati dai servizi USA

Un nuovo attacco hacker, un nuovo ransomware. Dopo Wannacry, responsabile dell’epidemia del mese scorso, dalla giornata del 27 giugno si è diffuso un nuovo virus, che colpisce cifrando il contenuto del computer infetto rendendo i file inaccessibili fino ad un eventuale pagamento di riscatto in bitcoin, per un equivalente di 300 dollari. Nelle prime ore di diffusione il nuovo worm è stato definito Petya, vista la sua somiglianza con un virus con tale nome in circolazione dal 2016. Successivamente i tecnici di Kaspersky Lab lo hanno considerato un software differente, rinominandolo, con poca fantasia, NotPetya.

Il primo paese ad esserne colpito, nel pomeriggio di martedì, è stata l’Ucraina. Successivamente all’attacco, Kiev ha accusato il Cremlino di esserne il responsabile. Oltre a negare il coinvolgimento, la Russia è diventata poco dopo la seconda vittima del virus. A registrare disservizi e disagi l’aereoporto della capitale ucraina, la Ferrovia dello Stato, la Privatbank e poi il colosso petrolifero russo Rosneft. Anche la centrale nucleare di Chernobyl è stata colpita, destando non poco clamore. Per essere chiari, ad essere infettato è stato il sistema di monitoraggio dei livelli di radiazione, che è subito passato in manuale per limitare i danni, mentre non è compromesso il sistema di contenimento radiazioni. Da lì il virus si è diffuso anche in Francia, Spagna, Gran Bretagna, Stati Uniti, fino a superare il centinaio di stati coinvolti. Nella giornata del 28 giugno sono state segnalati anche attacchi ad aziende italiane, tra cui un magazzino del colosso di trasporti TNT.

Come il suo predecessore Wannacry, anche Petya sfrutta l’exploit Eternalblue, un codice scritto dall’NSA che sfrutta vulnerabilità dei sistemi Windows per realizzare attacchi informatici. Il programma è venuto alla luce del sole quando il gruppo hacker noto come The Shadow Brokers lo rese pubblico illegalmente il 14 aprile scorso. Da notare che già da un mese prima del leak, il 14 marzo, Windows aveva già reso disponibile una patch di sicurezza per tutelarsi dall’attacco. Questo significa che, sia nel caso Wannacry che nel caso Petya molti danni si sarebbero potuti evitare con appositi aggiornamenti, o in alternativa utilizzando software open source come i sistemi operativi Linux, non contagiabile da questo exploit. Petya, rispetto a Wannacry, risulta però più sofisticato. Innanzitutto oltre che crittare i file riesce a diffondersi su macchine connesse alla stessa rete di una macchina infetta – quello che viene definito “movimento laterale” – il che significa che se su una rete è presente un computer vulnerabile, gli altri computer connessi, anche se aggiornati, rischiano l’infezione. Inoltre, mentre per Wannacry era stato trovato un modo abbastanza blando per rallentarne la diffusione (ingannando il software convincendolo di essere in una “sand box”), per Petya non ci sono simili scorciatoie, quindi la lotta al malware sembra più complicata. Vi sono anche piccole stranezze: nelle istruzioni per il pagamento del riscatto, si richiede di confermare via mail l’avvenuta transazione, cosa insolita per un malware scritto da professionisti. Il provider Posteo ha optato per chiudere tale casella, una scelta discutibile visto che ha reso impossibile d’ora in avanti comunicare l’avvenuto pagamento, e quindi impedendo eventuali rilascio di chiavi. Si stima comunque che il wallett (portafoglio) bitcoin utilizzato per raccogliere i pagamenti abbia raggiunto un equivalente di 8mila dollari. Non è dato da sapere chi abbia pagato, e se le chiavi di decrittazione gli sono state effettivamente restituite. Quello che è stato confermato è che il virus si è diffuso inizialmente tramite un sistema di aggiornamento di un software finanziario di una società ucraina, MeDoc, che spiegherebbe anche la prima diffusione nel paese.

Ancora ignoti i responsabili, sui quali circolano solo ipotesi. Il dubbio maggiore riguarda le intenzioni dell’attacco. Sia nel caso che si tratti di semplici criminali interessati al riscatto, o che vi siano in gioco dinamiche geopolitiche, casi come questo, o Wannacry, o ancora il caso di Mirai – virus che colpì l’Internet Of Things – lasciano intendere che quello cyber è un terreno che svolgerà un ruolo cruciale nei conflitti futuri. Questi attacchi lasciano spazio anche a considerazioni in merito allo scarso livello di preparazione su questo fronte. Se da un lato la ricerca e le aziende puntano al sogno delle smart cities, dove l’utopia è un’iper-connessione tra elettrodomestici, sensori di allarme, microchip sottocutanei, dall’altra questi casi di hacking sollevano perplessità riguardo la sicurezza di questo eventuale scenario. Ancora è presto per capire gli umori generali su questi temi, visto che il dibattito è alle fasi embrionali. Inoltre, questi episodi rischiano come sempre di riaccendere retoriche securitarie se non paternalistiche, rimettendo in crisi la già instabile neutralità della rete.

AGGIORNAMENTO (29/6): Stando ad ultime analisi, il virus sarebbe stato progettato in modo da non poter decrittare i file in possesso, quindi da non poter rispettare la promessa di restituzione dei dati in caso di pagamento avvenuto. A dare la notizia per primo il fondatore di Comae Technology, Matt Suiche, che in un’analisi tecnica porta argomentazioni a sostegno della tesi che il software è stato scritto con il semplice scopo di fare danni irreversibili e permanenti. Della stessa opinione la multinazionale di sicurezza Kaspersky, secondo la quale gli hacker “non possono decifrare i dischi delle vittime, anche qualora il pagamento sia effettuato”. E questo non solo per la sospensione dell’account mail al quale inviare le conferme di pagamento, ma per un meccanismo intrinseco alla base del programma. Anche se gli attaccanti volessero fornire la chiave di decrittazione, il software è scritto in modo da non poter disporre delle informazioni necessarie per ottenerla. Un tale risultato non può certo essere dovuto ad un errore, e lascia intendere che l’intenzione dei programmatori fosse quella di un virus creato esclusivamente per distruggere, un cosiddetto wiper.

L’anonimato consentito dal web, insieme alla poca chiarezza dell’attacco, rendono molto difficile capire le intenzioni – economiche o politiche che siano – di questo gruppo hacker.

* Una versione più breve di questo articolo è stata pubblicata sul Manifesto