Foto Pixabay

Dietro WannaCry potrebbe esserci la Corea del Nord

Redazione Web

È l'ipotesi di diversi esperti di sicurezza informatica, secondo cui ci sono delle somiglianze tra il codice del ransomware e quello utilizzato da Lazarus, un gruppo di hacker vicino a Pyongyang

Potrebbe esserci la Corea del Nord dietro WannaCry, il cyberattacco che nei giorni scorsi ha infettato oltre 200mila computer in almeno 150 paesi di tutto il mondo, causando numerosi problemi ad aziende prvate, enti pubblici e agenzie governative. Per il momento è soltanto l'ipotesi, tutta da verificare, di alcuni esperti informatici, i quali hanno ravvisato delle somiglianze tra il codice del ransomware e quello già utilizzato da Lazarus, un gruppo di hacker vicino a Pyongyang ormai celebre per l'attacco a Sony Pictures del novembre 2014 e quello per il furto di decine di milioni di dollari a banche del Bangladesh.


Di queste analogie hanno scritto, tra gli altri, Wired e il Guardian, facendo riferimento al tweet pubblicato ieri da Neel Metha, security researcher di Google, cui ha fatto seguito poco dopo quello di Matthieu Suiche, l'hacker 28enne francese che ha contribuito a rallentare gli effetti di WannaCry. Anche Kaspersky e Symantec, due delle società per la sicurezza informatica più importanti a livello internazionale, si sono espresse sull'argomento: entrando nel tecnico, fanno notare come ci siano delle somiglianze significative tra le prime versioni di WannaCry e i malware veicolati da Lazarus.


Fin qui, dunque, diversi indizi sono stati collegati tra loro dagli esperti, ma per qualcuno è possibile che gli hacker di WannaCry abbiano deliberatamente costruito un'operazione false flag, indirizzando le indagini verso la Corea del Nord. Anche perché strumenti come quelli utilizzati durante l'attacco informatico globale iniziato venerdì scorso circolano tra diversi gruppi di hacker. Gli autori di WannaCry hanno utilizzato anche algoritmi sottratti alla Nsa, l'organismo governativo degli Stati Uniti che, insieme a Cia e Fbi, si occupa della sicurezza nazionale. Il ransomware sfrutta un exploit dell'Nsa conosciuto come Eternalblu che un gruppo di hacker noto come i Shadow Brokers ha reso pubblico il mese scorso.

I ricercatori della società di sicurezza Kaspersky, citati da Wired, sostengono che un'operazione false flag è uno scenario "possibile", ma "improbabile". Dopotutto gli hacker non hanno copiato testualmente il codice dell'Nsa, ma lo hanno preso dallo strumento di hacking pubblico Metasploit. Il codice di Lazarus, al contrario, sembra un codice unico scritto da un unico gruppo. Ecco perché per avere maggiori certezze occorrono altre indagini, come fa notare anche Forbes.

Di più su questi argomenti: