mercoledì 5 luglio - Aldo Giannuli

Wannacry e NotPetya: se questa è guerra allora stanno giocando i bambini

Da Wannacry a NotPetya, se questa è guerra allora stanno giocando i bambini. Quando era piccolo trascorrevo intere giornate a simulare gigantesche battaglie con i soldatini. Atlantic, Baravelli e soprattutto i preziosi Airfix costituivano i miei eserciti.

 A causa delle inevitabili ristrettezze economiche in cui versavano le mie finanze attorno ai nove anni non potevo permettermi un’adeguata attenzione ai dettagli. Così gli M110 degli anni Sessanta erano protetti da Sherman della seconda guerra Mondiale, mentre l’Afrika Korps si trovava imprevedibilmente attaccata dalle truppe da sbarco San Marco, appoggiati da un’insolita pattuglia di rivoluzionari cinesi. In definitiva si privilegiava più la quantità di soldatini in campo e il colpo d’occhio sull’improvvisato campo di battaglia, piuttosto che la cura nell’applicare le regole dell’arte della guerra. Se considero gli ultimi eventi che hanno scosso le fondamenta della Rete mi sembra di rivedere quello scenario della mia infanzia.

Di Wannacry ho già scritto sottolineando come la sua capacità di diffondersi autonomamente fosse la vera novità per un ransomware, ma non per Internet. Proprio un worm nel lontano 1988 spense la nascente rete mondiale, sfruttando le vulnerabilità di alcuni servizi (per i cultori del genere si trattava di Unix sendmail, finger, e rsh/rexec) . L’utilizzo del famigerato strumento NSA noto come EternalBlue era stato il vero colpo di genio. Un vettore straordinario che consentiva di trasportare ogni tipo di carico utile e, poiché le debolezze nei sistemi ci sono e ci saranno sempre, questo modello d’arma potrebbe diventare tranquillamente uno standard. L’ormai celebre kill switch, scoperto casualmente da un giovane ricercatore, fu un altro aspetto interessante. Inserire all’interno del codice un indirizzo internet che, una volta messo on line, bloccasse l’azione di cifratura del virus mostrava un progettazione dell’arma molto militare, ma un uso piuttosto stolido da parte dei criminali, almeno se speravano di farci un bel po’ di soldi.

Per il resto i suoi devastanti effetti furono causati da insipienza e da quella scarsa attenzione ai dettagli combinata alle ristrettezze economiche di cui le organizzazioni sono vittime, tanto quanto un bambino di nove anni. Aggiornare i sistemi e modificare i software costa molti soldi.

Passa un mese e inciampiamo in NotPetya. Proprio perché le buone idee non si buttano, ancora una volta scopriamo che sfrutta EternalBlue leggermente modificato e il suo parente stretto Eternal Romance, ma qualcuno ha pensato che le care e vecchie tecniche di phishing potessero essere ancora utili, quindi si scoprono anche email contenenti documenti Word infetti che, se aperti, sfruttano una vulnerabilità della videoscrittura Microsoft per eseguire il virus. Incidentalmente il produttore aveva reso disponibile la correzione del bug alcuni giorni prima della diffusione del malware (mah?). L’attacco di maggiore impatto parte dall’Ucraina, nello specifico i criminali riescono a violare il sito del produttore di un software gestionale e mascherano il virus come legittimo aggiornamento del programma (esiste il sospetto che un fatto analogo si accaduto con WannaCry). Questa sembra decisamente un buona idea, ma non si comprende per quale ragione si siano limitati a un solo dominio. Secondo le statistiche, circa i due terzi dei siti mondiali soffre di almeno una vulnerabilità critica e i tool automatizzati di analisi avrebbero potuto fornirgli una vasta scelta. Decisamente idiote, invece, sono altre due scelte.

La prima quella di aprire la casella di posta elettronica destinata a fornire la chiave per decifrare su un provider tedesco che, con efficienza teutonica, l’ha chiusa d’ufficio due ore dopo l’inizio dell’attacco, dissuadendo, chiunque fosse stato tentato, dal pagare il riscatto richiesto di 300 dollari. La seconda, la tipologia di cifratura che agisce a un livello molto profondo, colpendo il Master Boot Sector degli hard disk (diciamo il motorino di avviamento del computer). A parere di molti ricercatori la successiva decodifica sarebbe praticamente impossibile. Chi pagherebbe per ottenere nulla? Tra l’altro NotPetya aveva una sorta di kill switch locale, attivabile bloccando uno specifico file di Windows: scelta militare o insipienza criminale? Difficile rispondere. Fino a questo momento non sembra granché, ma un colpo di genio c’è: la sua capacità di diffondersi all’interno della rete privata dopo avere infettato il primo computer. Per propagarsi, infatti, utilizza degli strumenti legittimi di Windows, che sono usati dagli amministratori dei sistemi per intervenire da remoto. Questo implica che può installarsi su qualsiasi macchina anche se non afflitta da specifiche vulnerabilità.
Se proviamo a mettere insieme le informazioni che ci forniscono i due attacchi sembra che qualcuno stia giocando con i soldatini ovvero si entrato in possesso di armi vere o pezzi di esse per assemblarle in modo fanciullesco. Molti puntano il dito verso la Russia, soprattutto gli ucraini, e immaginano che le richieste di riscatto e gli errori siano in realtà una forma di depistaggio e su questo possiamo fare alcune considerazioni.

Se l’obiettivo era quello di infiltrarsi segretamente nei sistemi di Kiev direi che hanno fatto decisamente troppo rumore. Immaginiamo, invece, che siano stati test di nuove armi. Anche in questo secondo caso non mancano le stravaganze perché hanno reso quegli armamenti immediatamente obsoleti. Resta un’ultima possibilità: manovre militari per valutare l’efficacia e gli effetti di un attacco cibernetico. Questo potrebbe avere un senso perché ha permesso di valutare i tempi di risposta delle diverse organizzazioni e dei ricercatori (non meno di 24 ore), la pervasività dell’offensiva (si è scoperto che l’infezione dell’armatore Maersk ha provocato un effetto domino rallentando i sistema dei trasporti marittimi in tutto il mondo), gli effetti collaterali (Rosneft e Gazprom sono state danneggiate), le reazioni dei governi (Il ministro inglese Fallon ha dichiarato che la Gran Bretagna è pronta a rispondere con attacchi convenzionali). Il tutto utilizzando armi americane e quindi evitando di rivelare i propri segreti militari. Di quelli ne abbiamo avuto una fugace visione probabilmente in Black Energy e Industroyer, i due malware sui quali si è recentemente dilungato il mio amico Leonardo Artico.

Uno scenario affascinante, ma che non esclude assolutamente quello legato dei criminali alle prese con armi un po’ troppo sofisticate. Proprio su questo tema vorrei chiudere e cercare di rispondere a una domanda: quali potrebbero essere le caratteristiche di un vera arma per una cyberguerra? Due le abbiamo già viste: una la possibilità di colpire autonomamente dall’esterno verso il proprio obiettivo, l’altra la capacità, raggiunto il target, di diffondersi all’interno della rete. Quanto, almeno per il momento, sembra mancare sono la latenza e la persistenza. La prima peculiarità rende possibile l’infiltrazione e la diffusione capillare prima di entrare in azione, la seconda vanifica i tentativi del nemico di liberarsi dall’infezione e dai suoi effetti. Se pensate che un oggetto di questo genere non sia mai stato visto vi sbagliate. La prima categoria è ben rappresentata dalle cosiddette bombe logiche, un tipo di malware che si attiva al verificarsi di determinate condizioni (per esempio uno specifico giorno dell’anno, l’apertura di un dato file, o il raggiungimento di un certo numero di righe in un database). Si tratta di un forma virale nota da decenni. Un esempio molto interessante di persistenza, peraltro associata al concetto di latenza, è invece il virus noto come Chernobyl. Questo malware, datato 1999, deve il suo nome al fatto che si attivava ogni 26 aprile (giorno del disastro) cancellando il contenuto del computer. Il suo metodo di spostamento era molto particolare perché, quando era attivo, tutte le volte che veniva aperto un file controllava se ci fosse abbastanza spazio libero per copiarsi al suo interno, senza alterarne le dimensioni. Se così era procedeva a introdurvisi. Questo tipo di modalità diventa interessante nei sistemi (praticamente tutti) soggetti a periodici backup perché permette al virus di essere salvato. Un ransomware con queste caratteristiche vanificherebbe tutti i tentativi di ripristino dei dati poiché le copie utilizzate sarebbero a loro volta infette. Allo stato attuale quindi l’arma cyber che potrei immaginare funziona sostanzialmente in questo modo. Si procede con una ricognizione per individuare obiettivi raggiungibili da Internet e afflitti da una o più vulnerabilità specifiche (quelle non mancano) e per le quali è stato realizzato un apposito vettore (l’equivalente di EternalBlue).

Successivamente si lancia l’exploit sui target accedendo al web da un nodo di una Darknet (per esempio la rete TOR, per rendere complesso il proprio tracciamento). Quando il malware è dentro il primo computer si diffonde all’interno della rete privata, sfruttando gli strumenti di amministrazione dei sistemi. A questo punto si replica in tutti i differenti file in cui trova spazio sufficiente e finendo per essere soggetto ai regolari backup (un tempo di latenza adeguato potrebbe essere una settimana). Trascorso il tempo prestabilito si scatena il suo carico attivo (diciamo un ransomware) che cifra il contenuto di tutte le macchine. A questo punto possiamo immaginare che partiranno le procedure per effettuare il restore dei dati. Nel momento in cui un file infetto viene ripristinato il virus si agisce nuovamente. Per gestire il timer di attivazione prevedrei nel suo codice un algoritmo che genera un indirizzo web sempre diverso da contattare periodicamente. In caso di risposta entrerebbe in azione. Si tratterebbe di un centro di comando e controllo, ma sincronizzato e variabile. Il funzionamento potrebbe essere paragonato a quello delle chiavette che si utilizzano per eseguire le operazioni bancarie. In questo modo sarebbe estremamente complesso bloccare le attivazioni, in quanto l’indirizzo contattato cambierebbe continuamente e in modo casuale. Questa mi sembra un’arma appropriata e tutto sommato le tecniche sono note da almeno venti anni. Forse è il caso di dire: largo a vecchi.

Alessandro Curioni




Lasciare un commento