Attacco alle Olimpiadi in Corea: nel malware falsi indizi messi ad arte?

Mar 09, 2018 Marco Schiaffino Attacchi, In evidenza, Malware, News, RSS, Scenario, Tecnologia 1

I pirati che hanno messo K.O. il Wi-Fi, il sistema televisivo e il sito Internet dell’evento hanno disseminato false prove per depistare gli esperti.

Quando si parla con un esperto di sicurezza, una delle prime cose che si scoprono è quanto sia difficile capire chi ci sia esattamente dietro un attacco informatico. Se questo vale per le azioni portate a termine dai comuni criminali, è ancora più vero quando dietro i cyber-attacchi si nasconde un gruppo legato in qualche modo a servizi segreti o enti governativi.

Il caso di Olympic Destroyer, il malware che ha funestato la cerimonia inaugurale delle Olimpiadi invernali, ne è la dimostrazione migliore. Il worm, secondo i ricercatori di Kaspersky, sarebbe un esemplare caso di depistaggio.

Facciamo un passo indietro. L’attacco nei confronti dei giochi di Pyeongchang aveva preso di mira le infrastrutture informatiche usate dagli organizzatori, mettendo K.O. il sistema televisivo della sala stampa proprio durante l’inaugurazione dei giochi e rendendo irraggiungibile anche il sito Internet ufficiale del l’evento.

Immediatamente dopo aver respinto l’attacco, l’attenzione degli esperti di sicurezza si è rivolta all’individuazione dei possibili responsabili. L’opinione comune emersa nei giorni seguenti era che dietro l’attacco (tanto per cambiare) ci fosse il solito gruppo Fancy Bear e, di conseguenza, la Russia.

In alternativa, i ricercatori hanno puntato il dito contro il gruppo Lazarus (che la maggior parte degli esperti di sicurezza considerano legato alla Nord Corea) o la Cina.

A orientare i ricercatori in questa direzione sono state alcune similitudini (vere o presunte) con malware associati ai vari gruppi che sono stati individuati in passato.

Il rischio false-flag

Come sanno benissimo gli esperti del settore, l’abitudine dei ricercatori di attribuire un attacco sulla base di similitudini tra il codice di un malware e quello di altri esemplari individuati in passato, in realtà, è un’arma a doppio taglio.

Quando un pirata informatico vuole evitare di essere individuato, infatti, di solito sfrutta questa attitudine per depistare i ricercatori inserendo un “false flag”, cioè un falso indizio. Per farlo è sufficiente copiare il modus operandi di un gruppo conosciuto. Esattamente come potrebbe fare un assassino che volesse attribuire il suo delitto a un celebre serial killer.

In ambito informatico è tutto più facile: considerato che le tecniche di attacco vengono studiate e le analisi pubblicate su Internet (spesso accompagnate da porzioni di codice dei malware in circolazione) ai cyber-criminali basta copiarle per fare in modo che i loro attacchi siano attribuiti a qualcun altro.

Capiamoci: i ricercatori sono perfettamente consapevoli di questa possibilità e, di solito, ci vanno giù con i piedi di piombo prima di sbilanciarsi sull’attribuzione di un attacco. In alcuni casi, però, le cose sono così complicate da rendere il tutto davvero molto difficile.

Indizi e similitudini

Come spiegano i ricercatori Kaspersky in un dettagliato report, il malware usato per attaccare i Giochi Olimpici aveva similitudini con un malware distribuito poco tempo prima in un documento Word che utilizzava il vecchio trucco di richiedere l’abilitazione del contenuto per avviare il codice malevolo.

Il testo è illeggibile. Magari abilitando il contenuto attivo del file le cose miglioreranno…. O è un virus?

Analizzando il malware, i ricercatori sono risaliti a un server argentino, il cui utilizzo è stato acquistato tramite una società bulgara da un cliente con residenza in Norvegia. Abbastanza complicato?

L’analisi dei ricercatori approfondisce le similitudini tra di due attacchi e riporta anche alcuni dati provenienti dai sistemi informatici di una struttura di accoglienza di Pyeongchang che, secondo gli studi di Kaspersky, sarebbe il “paziente zero” dell’attacco.

La ricostruzione riassunta nei post sui siti della società di sicurezza è estremamente complessa (leggerla vale davvero la pena) e permette di capire quanto possa essere difficile seguire un “filo rosso” in questi casi. La parte più appetitosa, però, riguarda la struttura stessa del codice e le similitudini che molti esperti di sicurezza hanno considerato un indizio del coinvolgimento di gruppi hacker già conosciuti.

False prove inserite ad arte

Le indagini dei ricercatori Kaspersky, a un certo punto, sono arrivate a una svolta decisiva. Utilizzando i loro strumenti di analisi si sono trovati di fronte a un elemento che avrebbe collegato l’attacco inequivocabilmente al gruppo Lazarus, collegato alla Corea del Nord.

Lo strumento in questione, che gli analisti di Kaspersky usano per individuare similitudini tra il codice utilizzato nei vari esemplari, non lasciava dubbi indicando il 100% di probabilità che l’autore fosse lo stesso.

Le cose, però, non stavano esattamente così. Quando i ricercatori hanno esaminato manualmente le porzioni di codice in questione, si sono resi conto che il codice non era uguale, era semplicemente scritto in modo che la sua “impronta” corrispondesse perfettamente con quella del gruppo Lazarus.

L’analisi approfondita di questi aspetti (consultabile su questa pagina Web) ha portato i ricercatori a credere che gli autori di Olympic Destroyer, in realtà, si siano dati un gran da fare per fare in modo che gli esperti pensassero che il malware fosse stato creato dal gruppo Lazarus, ma che in realtà i responsabili siano altri.

Insomma: se la vicenda legata all’attacco di Olympic Destroyer è ben lontana da una soluzione, le nuove evidenze emerse dalle ricerche confermano che la cyber-guerrilla in atto su Internet si sta evolvendo in maniera esponenziale e le certezze che avevamo fino a qualche tempo fa cominciano a scricchiolare.

Condividi l'articolo