Petya - ExPetr: storia di un attacco di Stato travestito da ransomware

Petya - ExPetr: storia di un attacco di Stato travestito da ransomware

ExPetr, noto anche come Petya, ha causato ingenti danni nel corso della passata settimana. Sotto alla facciata di ransomware si nasconde, però, un attacco portato avanti da uno Stato sovrano contro l'Ucraina.

di Riccardo Robecchi pubblicato il nel canale Sicurezza
 

Quello che poteva sembrare un futuro lontano e più adatto a film e libri è invero già realtà attuale e in rapida evoluzione. L'uso delle cyber-armi sta crescendo e diventa ogni giorno più importante; dalle elezioni fino agli attacchi a sistemi specifici, ogni giorno la guerra si sposta maggiormente verso il cyberspazio. E Petya è solo l'ultimo tassello di un puzzle la cui complessità aumenta ogni momento.

Numerosi sono i casi di cyber-armi di cui il pubblico è in qualche modo arrivato a conoscenza negli scorsi anni, come ad esempio STUXNET, e questi software hanno mostrato quale fosse la direzione che gli eventi avrebbero preso. Petya - o, meglio, ExPetr - rientra pienamente nella definizione di cyber-arma, visti i risultati che ha prodotto e il fatto che è stato usato con fini geopolitici.

ExPetr sfrutta un meccanismo di attacco simile a quello di WannaCry: anche in questo caso vengono sfruttati gli exploit EternalBlue ed EternalRomance, ma sfrutta anche il sistema di aggiornamento di un programma ucraino chiamato MeDoc e utilizzato per gestire i pagamenti delle tasse.

L'infezione di ExPetr è iniziata proprio in Ucraina, Paese che sta attraversando una fase di forti tensioni sia interne che sul piano internazionale. Inizialmente è stato dipinto come un ransomware: il messaggio che riportava chiedeva infatti il pagamento di 300$ in Bitcoin perché fosse possibile decifrare i file sul computer, precedentemente criptati dal software malevolo. Tale messaggio è, però, uno specchietto per le allodole. Come riportato da più fonti, incluso Kaspersky, ExPetr mostra tale messaggio senza in realtà aver la capacità di decifrare i dati.

ExPetr: non un ransomware ma un wiper per fare il massimo danno possibile

Il compito di ExPetr è infatti quello di rendere inaccessibili tutti i dati presenti sul disco, di fatto classificandosi come wiper. Precedenti casi, come appunto Petya, prevedevano che il software creasse un ID di installazione che contenesse la chiave di decifrazione; ExPetr, al contrario, non crea un ID di installazione tramite il quale sia possibile risalire alla chiave - ciò che viene mostrato a schermo è una semplice stringa alfanumerica generata casualmente. È evidente, quindi, che non fosse nelle intenzioni dei creatori del software permettere alle vittime di recuperare i dati, ma solo causare il massimo danno possibile.

In un certo senso, si potrebbe paragonare un attacco come quello di ExPetr all'uso di una bomba atomica o di un'arma batteriologica: chi porta avanti l'attacco ha la volontà di apportare soltanto danni estremi senza lasciare possibilità di recupero e puntando, anzi, a causare danni anche a ciò che sta intorno alla sede principale dell'attacco senza danneggiare realtà più distanti.

Il software è stato scritto per propagarsi solo a livello locale e non tramite Internet: questo è il motivo per cui l'infezione non è stata diffusa in tutto il mondo come avvenuto con WannaCry, ma è stata localizzata in Ucraina e ha avuto minore diffusione in Russia, Polonia, Italia e Germania. Come specificato da David Grout, pre-sales director per l'Europa meridionale presso FireEye, i Paesi colpiti hanno vicinanza geografica all'Ucraina o hanno legami con essa. Molte aziende russe e polacche operano nel Paese, ad esempio, e questo è il motivo per cui sono state colpite da ExPetr.

A causa del recente attacco di WannaCry, e viste le dinamiche simili, si è pensato ad un attacco paragonabile. La realtà è, però, totalmente diversa, ma la necessità di narrare i fatti da parte dei media e di dare un primo riscontro da parte delle aziende specializzate ha portato alla diffusione di informazioni non corrette nel corso degli scorsi giorni. Solo dopo qualche giorno dall'inizio dell'attacco si è scoperto il reale funzionamento di ExPetr, la portata dell'attacco e il suo scopo.

Ci sono tutti gli elementi per considerare ExPetr come un attacco da parte di uno Stato sovrano

Questo non è un dettaglio ininfluente e la sua specificazione non vuole essere un'attribuzione di colpa: come fa notare Matt Suiche in un post sul suo blog, il fatto che ExPetr sia stato mascherato da ransomware è probabilmente dovuto proprio alla volontà di sviare i media dalle vere intenzioni degli attaccanti. ExPetr ha le sembianze di un attacco da parte di uno Stato ai danni di un altro e chi ha eseguito l'attacco ha cercato di mascherarsi e di guidare la narrazione degli eventi - con un successo durato qualche giorno.

È possibile affermare che ExPetr sia stato utilizzato con fini geopolitici per via di alcuni fatti verificatisi in corrispondenza dell'attacco: non solo si è festeggiato il terzo anniversario dell'accordo di associazione all'Unione Europea del Paese e la Giornata della Costituzione, ma il capo dell'intelligence è stato ucciso tramite una bomba all'inizio dell'attacco informatico. Le coincidenze sembrano troppo evidenti per essere solo tali.

Grout afferma che questo è un caso di attacco deliberato ad uno Stato sovrano. Il problema è stabilire la responsabilità degli attachi: al momento è molto difficile risalire all'origine degli attacchi e questo rende molto difficile reagire. Se con le armi convenzionali è spesso possibile risalire a chi abbia premuto il grilletto o sganciato la bomba, seppur non sempre con facilità, con le armi informatiche questo compito è titanico.

Gli attacchi futuri non si potranno evitare, l'unica arma a disposizione è la proattività

Secondo Grout il fatto che ExPetr abbia potuto agire sfruttando le stesse vulnerabilità già colpite da WannaCry è da imputare alla scarsa velocità di reazione di imprese e organizzazioni: se infatti i singoli possono avere una buona cultura della sicurezza ed essere attenti a installare aggiornamenti e patch, non sempre le organizzazioni riescono a rimanere al passo per via delle onerose procedure interne. Mauro Papini, country manager di Acronis in Italia, fa notare che "il rumore ottenuto sui media alla lunga genera contromisure", e proprio la reattività e la velocità di azione dovranno essere tra i parametri fondamentali per proteggersi da futuri attacchi.

ExPetr si inserisce dunque in un contesto complesso e ha il merito di (ri)portare alla luce un tema importante come quello dell'uso a fini bellici della tecnologia. Con la tecnologia in continua evoluzione, ci saranno notevoli cambiamenti sia in termini di prevenzione che di attacco. La cosa sicura è, come ha affermato Grout durante la conclusione dell'intervista, che non sarà possibile fermare gli attacchi e l'unico modo per contrastarli sarà rendersi proattivi.

9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
zappy03 Luglio 2017, 11:59 #1
Originariamente inviato da: Redazione di Hardware Upgrade
Link all'Articolo: http://www.hwupgrade.it/articoli/si...ware_index.html

ExPetr sfrutta un meccanismo di attacco simile a quello di WannaCry: anche in questo caso vengono sfruttati gli exploit EternalBlue ed EternalRomance, ma sfrutta anche il sistema di aggiornamento di un programma ucraino chiamato MeDoc e utilizzato per gestire i pagamenti delle tasse.

Non oso pensare che succederebbe se fosse fatto specificatamente per lo stivale e usasse i meccanismi di aggiornamento dei sw italici di AdE e Sogei...
magari abbiamo trovato il modo di azzerare il debito pubblico
Alfhw03 Luglio 2017, 13:05 #2
Originariamente inviato da: zappy
Non oso pensare che succederebbe se fosse fatto specificatamente per lo stivale e usasse i meccanismi di aggiornamento dei sw italici di AdE e Sogei...
magari abbiamo trovato il modo di azzerare il debito pubblico

Quoto. I sw della Sogei per l'Agenzia delle Entrate sono a dir poco imbarazzanti! Bisogna imprecare solo per riuscire a installarli! Usarli poi è una penitenza!
Bestio03 Luglio 2017, 15:29 #3
Originariamente inviato da: zappy
Non oso pensare che succederebbe se fosse fatto specificatamente per lo stivale e usasse i meccanismi di aggiornamento dei sw italici di AdE e Sogei...


Il nome è già tutto un programma...
aleardo03 Luglio 2017, 21:00 #4
Chissà qual è lo Stato sovrano che sta dietro l'attacco? Purtroppo è un segreto invalicabile, si sa solo che comincia con "Rus" e finisce con "sia"...
Dinofly03 Luglio 2017, 23:58 #5
Fatemi capire. Questi ransomware richiedono comunque autorizzazione al system admin prima di installarsi, corretto?
Cfranco04 Luglio 2017, 09:38 #6
Originariamente inviato da: aleardo
Chissà qual è lo Stato sovrano che sta dietro l'attacco? Purtroppo è un segreto invalicabile, si sa solo che comincia con "Rus" e finisce con "sia"...

Non dirlo troppo forte che arriva subito quello che legge le bojate di sputnik news a dirti che in realtà è stata la CIA per dare la colpa a quel santo di Putin
zappy04 Luglio 2017, 11:40 #7
Originariamente inviato da: Dinofly
Fatemi capire. Questi ransomware richiedono comunque autorizzazione al system admin prima di installarsi, corretto?

ovviamente no.
sfruttano bachi per prendesi le autorizzazioni.
e cmq i dati utente non sopo dell'admin, quindi non c'è bisogno di autorizzazioni in ogni caso.
Pung04 Luglio 2017, 13:04 #8

x Cfranco

Se è stata la Russia, hanno fatto solo bene.
pabloski04 Luglio 2017, 17:16 #9
Originariamente inviato da: Cfranco
Non dirlo troppo forte che arriva subito quello che legge le bojate di sputnik news a dirti che in realtà è stata la CIA per dare la colpa a quel santo di Putin


Meglio le Pravda americane?

https://www.nytimes.com/2017/06/25/...his-allies.html

Notare alla fine: "Correction: June 29, 2017 A White House Memo article on Monday about President Trump’s deflections and denials about Russia referred incorrectly to the source of an intelligence assessment that said Russia orchestrated hacking attacks during last year’s presidential election. The assessment was made by four intelligence agencies — the Office of the Director of National Intelligence, the Central Intelligence Agency, the Federal Bureau of Investigation and the National Security Agency. The assessment was not approved by all 17 organizations in the American intelligence community. "

Costretti dalle tweetstorm di Trump a rimangiarsi le loro balle da 1984.

Oppure vogliamo parlare di questo? http://www.abovetopsecret.com/forum/thread1177095/pg1

E ci sono altre chicche scovate dal progetto Veritas.

p.s. dopo quasi 4 mesi stiamo ancora aspettando le prove che fu Assad a gasare la gente a Khan Sheikun. Inutile far notare che medici ed esperti di chimica si sono espressi sulle incongruenze ( a dir poco ) dei video fatti circolare dai sedicenti White Helmets, cioe' il braccio mediatico dell'ISIS e di altri gruppi finanziati ed armati da Qatar, Arabia Saudita, Turchia ( almeno fino a pochi mesi fa ne compravano il petrolio ) e altri "galantuomini".

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^