Aggiornamenti recenti Aprile 1st, 2025 2:38 PM
Mar 09, 2018 Marco Schiaffino Attacchi, In evidenza, Malware, News, RSS, Scenario, Tecnologia 1
Quando si parla con un esperto di sicurezza, una delle prime cose che si scoprono è quanto sia difficile capire chi ci sia esattamente dietro un attacco informatico. Se questo vale per le azioni portate a termine dai comuni criminali, è ancora più vero quando dietro i cyber-attacchi si nasconde un gruppo legato in qualche modo a servizi segreti o enti governativi.
Il caso di Olympic Destroyer, il malware che ha funestato la cerimonia inaugurale delle Olimpiadi invernali, ne è la dimostrazione migliore. Il worm, secondo i ricercatori di Kaspersky, sarebbe un esemplare caso di depistaggio.
Facciamo un passo indietro. L’attacco nei confronti dei giochi di Pyeongchang aveva preso di mira le infrastrutture informatiche usate dagli organizzatori, mettendo K.O. il sistema televisivo della sala stampa proprio durante l’inaugurazione dei giochi e rendendo irraggiungibile anche il sito Internet ufficiale del l’evento.
Immediatamente dopo aver respinto l’attacco, l’attenzione degli esperti di sicurezza si è rivolta all’individuazione dei possibili responsabili. L’opinione comune emersa nei giorni seguenti era che dietro l’attacco (tanto per cambiare) ci fosse il solito gruppo Fancy Bear e, di conseguenza, la Russia.
In alternativa, i ricercatori hanno puntato il dito contro il gruppo Lazarus (che la maggior parte degli esperti di sicurezza considerano legato alla Nord Corea) o la Cina.
A orientare i ricercatori in questa direzione sono state alcune similitudini (vere o presunte) con malware associati ai vari gruppi che sono stati individuati in passato.
Il rischio false-flag
Come sanno benissimo gli esperti del settore, l’abitudine dei ricercatori di attribuire un attacco sulla base di similitudini tra il codice di un malware e quello di altri esemplari individuati in passato, in realtà, è un’arma a doppio taglio.
Quando un pirata informatico vuole evitare di essere individuato, infatti, di solito sfrutta questa attitudine per depistare i ricercatori inserendo un “false flag”, cioè un falso indizio. Per farlo è sufficiente copiare il modus operandi di un gruppo conosciuto. Esattamente come potrebbe fare un assassino che volesse attribuire il suo delitto a un celebre serial killer.
In ambito informatico è tutto più facile: considerato che le tecniche di attacco vengono studiate e le analisi pubblicate su Internet (spesso accompagnate da porzioni di codice dei malware in circolazione) ai cyber-criminali basta copiarle per fare in modo che i loro attacchi siano attribuiti a qualcun altro.
Capiamoci: i ricercatori sono perfettamente consapevoli di questa possibilità e, di solito, ci vanno giù con i piedi di piombo prima di sbilanciarsi sull’attribuzione di un attacco. In alcuni casi, però, le cose sono così complicate da rendere il tutto davvero molto difficile.
Indizi e similitudini
Come spiegano i ricercatori Kaspersky in un dettagliato report, il malware usato per attaccare i Giochi Olimpici aveva similitudini con un malware distribuito poco tempo prima in un documento Word che utilizzava il vecchio trucco di richiedere l’abilitazione del contenuto per avviare il codice malevolo.
Il testo è illeggibile. Magari abilitando il contenuto attivo del file le cose miglioreranno…. O è un virus?
Analizzando il malware, i ricercatori sono risaliti a un server argentino, il cui utilizzo è stato acquistato tramite una società bulgara da un cliente con residenza in Norvegia. Abbastanza complicato?
L’analisi dei ricercatori approfondisce le similitudini tra di due attacchi e riporta anche alcuni dati provenienti dai sistemi informatici di una struttura di accoglienza di Pyeongchang che, secondo gli studi di Kaspersky, sarebbe il “paziente zero” dell’attacco.
La ricostruzione riassunta nei post sui siti della società di sicurezza è estremamente complessa (leggerla vale davvero la pena) e permette di capire quanto possa essere difficile seguire un “filo rosso” in questi casi. La parte più appetitosa, però, riguarda la struttura stessa del codice e le similitudini che molti esperti di sicurezza hanno considerato un indizio del coinvolgimento di gruppi hacker già conosciuti.
False prove inserite ad arte
Le indagini dei ricercatori Kaspersky, a un certo punto, sono arrivate a una svolta decisiva. Utilizzando i loro strumenti di analisi si sono trovati di fronte a un elemento che avrebbe collegato l’attacco inequivocabilmente al gruppo Lazarus, collegato alla Corea del Nord.
Lo strumento in questione, che gli analisti di Kaspersky usano per individuare similitudini tra il codice utilizzato nei vari esemplari, non lasciava dubbi indicando il 100% di probabilità che l’autore fosse lo stesso.
Le cose, però, non stavano esattamente così. Quando i ricercatori hanno esaminato manualmente le porzioni di codice in questione, si sono resi conto che il codice non era uguale, era semplicemente scritto in modo che la sua “impronta” corrispondesse perfettamente con quella del gruppo Lazarus.
L’analisi approfondita di questi aspetti (consultabile su questa pagina Web) ha portato i ricercatori a credere che gli autori di Olympic Destroyer, in realtà, si siano dati un gran da fare per fare in modo che gli esperti pensassero che il malware fosse stato creato dal gruppo Lazarus, ma che in realtà i responsabili siano altri.
Insomma: se la vicenda legata all’attacco di Olympic Destroyer è ben lontana da una soluzione, le nuove evidenze emerse dalle ricerche confermano che la cyber-guerrilla in atto su Internet si sta evolvendo in maniera esponenziale e le certezze che avevamo fino a qualche tempo fa cominciano a scricchiolare.
Mar 04, 2025 0
Dic 23, 2024 0
Nov 11, 2024 0
Ott 16, 2024 0
Apr 01, 2025 0
Mar 31, 2025 0
Mar 31, 2025 0
Mar 28, 2025 0
Apr 01, 2025 0
Se da una parte i tool di Remote Monitoring and Management...Mar 27, 2025 0
Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso...Mar 21, 2025 0
Il processo di penetration testing è ormai una pratica...Mar 13, 2025 0
Il bilancio delle vittime del ransomware Medusa è...Mar 12, 2025 0
Kaspersky lancia un segnale d’allarme: registrare account...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Apr 01, 2025 0
Se da una parte i tool di Remote Monitoring and...Mar 31, 2025 0
I ricercatori di Infoblox hanno scoperto una nuova campagna...Mar 31, 2025 0
Nel corso dell’ultima settimana, il CERT-AGID ha rilevato...Mar 28, 2025 0
Un vecchio dominio di Microsoft Stream è stato compromesso...Mar 28, 2025 0
RedCurl, gruppo hacker russo attivo almeno dal 2018 e...
One thought on “Attacco alle Olimpiadi in Corea: nel malware falsi indizi messi ad arte?”