Print Friendly, PDF & Email

aldogiannuli

Nel bene e nel… malware

di Alessandro Curioni

Un Alessandro Curioni da antologia sul caso Wannacry: buona lettura! A.G.

Sembra che qualcuno mi abbia evocato… Vediamo se quanto ho da raccontare vi interessa. Quello che stava accadendo nel mondo il 12 maggio l’ho scoperto piuttosto tardi, visto che ero segregato in un’università romana a discutere con un gruppo di giovanotti di social network e privacy. Quando, piuttosto provato, sono salito sul treno che mi avrebbe riportato a Milano mi è stato annunciato che avrei dovuto palesarmi agli studi Rai per commentare quanto stava accadendo. Il fatto divertente è che al momento non avevo idea di cosa fosse successo. Whatsapp si era appena beccato tre milioni di euro di multa dall’AGICOM, ma francamente mi sembrava poca cosa. Inizio a fare qualche telefonata, mentre vago su Google e scoppio a ridere. Veramente a sorridere, sono capace di perdere con stile, perché sembra che dei maldetti mi abbiano appena fregato la trama di un racconto che volevo scrivere, trasformandolo in realtà. Quindi vi propino una cronaca.

E’ giovedì 11 maggio e sono le 8,00 del mattino (UTC) attraverso una botnet nota come Necurs un insieme di computer compressi e asserviti ad un unico controllore, viene scatenato un attacco al ritmo di 5 milioni di email l’ora. Si tratta del solito ransomware. Tutti i messaggi sono potenzialmente infetti e le organizzazioni di intelligence pubbliche e private iniziano a monitorarlo. Gli operatori verificano che si tratta di una campagna di phishing piuttosto “banale”. Il contenuto delle email non è diverso da quelli già osservati e il malware, battezzato Jaff, non ha caratteristiche peculiari o particolarmente minacciose, anzi il meccanismo per scatenarlo richiede più di un clic del solito sprovveduto utonto. Tuttavia il flusso di messaggi è decisamente massiccio e, dopo una pausa, un ulteriore picco venne raggiunto 25 ore dopo. Esattamente alla stessa ora i sistemi dedicati da alcune aziende di sicurezza alla raccolta di dati sulle potenziali nuove minacce on line (tecnicamente honeypot) iniziano a rilevare una particolare anomalia. Qualcosa di nuovo si aggira nella Rete: Wannacry è entrato in azione. Guarda che coincidenza!

Nel giro di poche ore la creatura sfodera un arsenale che nei ransomware non si è mai visto prima. Fino ad oggi avevano sempre richiesto un intervento umano per scatenare il loro potenziale nocivo, Wannacry, invece, sembra essere in grado di diffondersi con una minima interazione, forse un singolo clic su un allegato o un link sbagliati, anche se molti sospettano che non sia necessario neppure quello. Siamo al cospetto di in ransomware che ha fatto proprie le caratteristiche di un worm, cioè un malware capace di autopropagarsi. Dal 2001, anno della diffusione di Code Red, capace di infettare in un singolo giorno 359 mila macchine, non si assisteva a una simile virulenza. Si inizia a studiare il mostro e si scopre che il suo potenziale è tanto alto grazie ad alcune “armi” governative. Poco più di un mese prima il gruppo di criminali informatici Shadow Brokers aveva reso disponibili una serie di strumenti di hacking sviluppati da un altro team noto come Equinox Group e legato alla NSA statunitense.

Tra questi vi erano Eternal Blue, un tool che, sfruttando una particolare vulnerabilità dei sistemi operativi Windows, permette all’aggressore di lanciare dei programmi non autorizzati all’interno della macchina obiettivo e la backdoor DoublePulsar, un canale di comunicazione nascosto che consente a un estraneo di agire sul computer infetto. Entrambi i software sono parte del vettore di Wannacry. Questa configurazione gli permette di colpire sia attraverso phishing (messaggi di posta truffaldini) sia agendo direttamente senza l’intervento di un utente. Nel primo caso può probabilmente infettare qualsiasi sistema Windows, nel secondo soltanto quelli sensibili all’azione di Eternal Blue. Questo nella prima fase dell’attacco, successivamente si replica autonomamente cercando su tutte le macchine presenti nella rete che ha infettato la specifica vulnerabilità di cui sopra.

Naturalmente i “buoni” ci hanno messo del loro per rendere possibile tutto questo. In primo luogo la mortifera vulnerabilità di Windows è ben nota da molti mesi e la sua patch è stata resa disponibile da Microsoft sin dallo scorso 14 marzo per tutti i sistemi ancora supportati. Chiunque sarebbe legittimato a chiedersi per la quale ragione la debolezza non sia stato eliminata. Purtroppo cambiare qualcosa in un sistema operativo ha la pessima abitudine di avere un’infinità di effetti collaterali sugli altri software che funzionano appoggiandosi ad esso. Spesso si tratta di applicazioni utilizzate per svolgere le attività fondamentali. Per esempio il software che gestisce la pianificazione dell’attività di uno o più ospedali normalmente è sviluppato per funzionare con uno specifico sistema operativo, prima di installare le correzioni si devono fare dei test e, se hanno esito negativo, diventa necessario modificare il software. Ci vuole tempo e soldi e soprattutto quando si deve spendere il tempo si dilata oltre ogni limite. In certi casi si decide di non fare alcunché e così la legge di Murphy colpisce senza appello, di solito quando il sistema operativo non viene più supportato dal produttore. Così accade con Windows XP.

Questo prodotto di Microsoft è stato abbandonato per la maggior parte delle sue versioni nel 2014, tuttavia oggi sembra ci siano oltre 100 milioni di dispositivi sui quali è ancora funzionante, quindi completamente vulnerabili all’exploit risolto lo scorso marzo. Non a caso, meno di 24 ore dopo l’avvento di Wannacry, Microsoft rilascia una patch straordinaria proprio per XP, forse su una “leggera” pressione del Governo Inglese. Ma proprio quando tutto sembra perduto, nell’ora più oscura appare il più improbabile degli eroi, un giovane ricercatore a un’intuizione tanto fortunata quanto brillante. Analizzando il codice e il modus operandi del virus scopre come, l’infida creatura, prima di agire sul computer infetto cerca di contattare un sito internet, questo: www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Fatta l’operazione procede crittografando il contenuto del dispositivo. Il ricercatore scopre che tale dominio non è attivo e quindi lo registra e lo rende raggiungibile. Adesso accade l’incredibile: tutte le copie di Wannacry che, da quel momento, ricevono una risposta dal sito, invece di cifrare il computer colpito lo abbandonano. Il protagonista di questo colpo di genio scopre che il virus ha una sorta di sistema di sicurezza che lo disattiva, come un codice di emergenza per un missile nucleare lanciato per sbaglio. Già, ma chi dispone di missili nucleari? Questo lo potete intuire. Proprio questa peculiarità accredita la teoria secondo cui questo malware sia un insieme di armi informatiche governative, forse non soltanto di origine americana, assemblate con una buona competenza, ma con qualche distrazione.

Rimaneva una domanda: se il giorno successivo i criminali tolgono la “sicura” e ci riprovano, cosa succede? Di sicuro sarebbe ricominciato i disastro, come è stato per Cina e Giappone, ma quelli che ci hanno provato sono stati decisamente un po’ maldestri. Fortunatamente si è trattato di criminali “della domenica” (in effetti era proprio domenica). Uno degli esemplari che ho osservato non aveva più il cosiddetto killer switch, in compenso non crittografava i dati: carino, ma inutile per delinquere. Così qualcuno cercava di fare i conti in tasca ai criminali, stimando in 50 mila dollari il ricavato, sulla base del monitoraggio dei borsellini in Bitcoin. In realtà non sarei così ottimista perché, se proprio non sono sprovveduti, avranno aperto centinaia di wallet sui quali ripartire la refurtiva e non è detto che i campioni di Wannacry giunti ai ricercatori avessero l’intero set di borsellini cablato nel codice. Finalmente ora possiamo tirare un sospiro di sollievo. Forse voi, ma io sono ancora in apnea e temo ci starò per un pezzo. Ecco per quali ragioni.

Il primo elemento che balza agli occhi è la fondamentale capacità di propagarsi in modo autonomo, cosa che nei ransomware non si era ancora mai vista. Di conseguenza chi si occupa di sicurezza dovrà fronteggiare una nuova genia di minacce.

Un secondo aspetto preoccupante è la struttura stessa del malware. Si tratta sostanzialmente di un “contenitore” che può potenzialmente ospitare diverse tipologie virali. Immaginate un missile al cui interno è possibile installare una testata nucleare, chimica o batteriologica. L’attacco di venerdì ha veicolato un ransomware, ma potrebbe essere usata per trasportare un più infido Keylogger, capace di registrare le digitazioni su tastiere degli utenti.

Il terzo dato significativo riguarda la strategia di attacco. L’idea che un gruppo criminale inizi a fare evolvere i suoi metodi di aggressione fino a prevedere anche dei diversivi non appare certo una buona notizia.

Un ultimo tema, quello che veramente potrebbe portare a un’insonnia permanente, è legato al potenziale effetto distruttivo che potrebbe esprimere un attacco di questo genere se scatenato contro il mondo IoT. L’Internet delle Cose si presenta con un grado di vulnerabilità molto elevata determinata da due fattori concomitanti: le vetustà di molti sistemi e la compatibilità retroattiva. In particolare i sistemi industriali (SCADA e ICS) hanno richiesto alle aziende investimenti massici, di conseguenza hanno un ciclo di vita molto lungo. In questo settore non è raro incappare in computer che montano sistemi operativi che risalgono alla “preistoria” dell’informatica e quindi non sono più supportati dai produttori. Il secondo tema è quello della compatibilità retroattiva che garantisce a chi dispone di SCADA o ICS la possibilità di integrare nuovi sistemi dotati di software più recente. In sostanza l’ultimo arrivato si adatta a quello che trova effettuando il downgrade di se stesso, che lo porta a ereditare tutte le debolezze presenti nei dispositivi più vecchi. Lo scenario di un attacco come Wannacry lanciato nel mondo IoT farebbe sembrare quello che è accaduto venerdì una piccola seccatura. Se a finire bloccate fossero le centrali elettriche ci ritroveremmo in un nuovo Medio Evo in meno di una giornata.

Add comment

Submit