Perché l'attacco virus di questi giorni è in realtà un atto di guerra digitale
Non erano hacker, ma il colpo di uno stato contro l'Ucraina
Roma. Gli esperti informatici sono ormai convinti che Petya, il virus che lunedì sera ha colpito i computer di aziende e stati di mezzo mondo, non sia un “ransomware”, vale a dire un virus diffuso con intento criminale, ma un atto organizzato di guerra informatica. In base alle prime analisi, Petya era sembrato una versione aggiornata di WannaCry, il virus che in maggio aveva infettato migliaia di computer in tutto il mondo, creando grossi danni. Stessa origine (l’arsenale di armi informatiche della Nsa americana reso pubblico a marzo da un gruppo di hacker) e, apparentemente, stessi intenti: come WannaCry, anche Petya blocca i computer infettati e chiede ai loro proprietari un riscatto in bitcoin per ridare indietro i dati bloccati. Qui sorge il primo problema. WannaCry era molto efficiente con i pagamenti: era facile pagare il riscatto e riavere i propri dati. Il sistema di pagamento di Petya praticamente non funziona. Finora sono stati pagati in totale solo 10 mila dollari. Ma anche dopo il pagamento, sostengono le testimonianze e gli esperti, il sistema non blocca i dati, li cancella. Qui la prima rivelazione: Petya non è un ransomware, è un wiper, vale a dire un virus fatto per distruggere tutto ciò che incontra e danneggiare sistemi e infrastrutture digitali. A questa conclusione sono arrivati indipendentemente molti esperti informatici, come per esempio Matthieu Suiche di Comae, ed è poi stata corroborata da una ricerca di Kaspersky, la celebre società di sicurezza online.
La seconda rivelazione è che Petya sembra avere un obiettivo specifico. Certo, il virus ha colpito in mezzo mondo, negli Stati Uniti come in Russia e in Italia: secondo Microsoft, in tutto sono stati colpiti 64 paesi. Ma sempre secondo Kaspersky, oltre il 60 per cento degli obiettivi attaccati si trova in Ucraina. L’origine dell’infezione, inoltre, sembra dimostrare che l’Ucraina era l’obiettivo specifico degli hacker. Mercoledì Microsoft ha confermato che l’attacco è partito da una vulnerabilità di un software molto specifico: M.E.Doc, un programma di contabilità prodotto da un’azienda ucraina e usato sia dal governo sia dalle aziende e dai professionisti locali. Si tratta dunque di una attacco mirato, perché gli hacker sapevano che M.E.Doc è usato solo in Ucraina, e di un attacco che mira agli alti livelli dello stato, perché rende vulnerabili tutte le maggiori infrastrutture. E’ quello che è successo. Il virus ha colpito molte aziende internazionali, come una divisione dell'americana Merck e la russa Rosneft, ma in Ucraina ha bloccato l’intero paese: sono stati infettati gli aeroporti, le due principali società energetiche, la banca centrale, molti altri istituti di credito, l’agenzia della metropolitana, molte agenzie governative e perfino la centrale di Chernobyl, i cui tecnici hanno dovuto passare alla rilevazione manuale delle radiazioni. Si aggiungano alcuni elementi correlati, che non forniscono prove ma potrebbero aiutare a chiarire il contesto: l’attacco è stato lanciato alla vigilia delle celebrazioni in Ucraina per la festa della Costituzione e nello stesso giorno, a Kiev, un’autobomba ha ucciso Maksim Shapoval, uno dei massimi esperti dell’intelligence militare ucraina – l’ultimo di una serie di omicidi politici.
Gli esperti sono convinti ormai che quello che ha colpito l’Ucraina non sia il lavoro di un gruppo di criminali digitali, ma un attacco, volto a paralizzare e danneggiare infrastrutture strategiche, di uno stato compiuto da un altro stato – un atto di guerra digitale, insomma. Non è il primo, ma è il primo a essere mascherato da ransomware, forse per controllare la narrativa che dell’attacco si è fatta sui media. Manca solo l’identità dell’aggressore. Su questo ancora non ci sono prove, ma gli ucraini hanno già un ovvio indiziato principale: la Russia di Putin.