Sicurezza IT // Scenari

Il malware Olympic Destroyer: esempio di false flag per confondere la sicurezza informatica

Condividi

Ai Giochi Olimpici Invernali il worm Olympic Destroyer ha fatto notizia. Durante le Olimpiadi di Pyeongchang si è verificato un attacco informatico che ha paralizzato temporaneamente i sistemi IT prima della cerimonia ufficiale di apertura, spegnendo i monitor, eliminando il Wi-Fi e bloccando il sito web delle Olimpiadi in modo che i visitatori non fossero in grado di stampare i biglietti.

Kaspersky Lab ha anche scoperto che diverse strutture di impianti sciistici della Corea del Sud hanno subito l’attacco da parte di questo worm, che ha disabilitato il funzionamento dei cancelli e degli impianti di risalita delle località. Sebbene l'impatto reale degli attacchi con questo malware fosse limitato, resta indiscussa la sua potenziale capacità d’essere devastante.

Tuttavia, il vero interesse per chi si occupa di sicurezza informatica non risiede nel potenziale o reale danno causato dagli attacchi del Destroyer, ma nell'origine del malware. “Fino ad ora nessun altro malware ha avuto così tante ipotesi di attribuzione: nel giro di pochi giorni dalla sua scoperta, gruppi di ricerca di tutto il mondo hanno attribuito questo malware a Russia, Cina e Corea del Nord, basandosi su una serie di caratteristiche precedentemente attribuite al cyber-spionaggio e a sabotatori che si presumeva fossero basati in questi Paesi o che lavorassero per questi governi”, sottolineano da Kaspersky.

I ricercatori di Kaspersky Lab hanno cercato di capire quale gruppo di hacker fosse nascosto dietro questo malware e ad un certo punto sembrava che tutti gli indizi rimandassero al 100% a prove che collegavano il malware a Lazarus, un noto gruppo di hackers sostenuto dagli stati nazione e legato alla Corea del Nord.

“Questa conclusione – evidenziano - si è basata sull’unica traccia lasciata dagli aggressori. Una combinazione di alcune funzionalità nell'ambiente di sviluppo del codice memorizzato nei file che può essere utilizzata come "impronta digitale" e che, in alcuni casi, permette di identificare gli autori di malware ed i loro progetti. Nell'esempio analizzato da Kaspersky Lab, questa impronta digitale corrispondeva al 100% ai componenti malware di Lazarus precedentemente noti e non aveva nessun punto in comune con qualsiasi altro file dannoso o non, finora noto a Kaspersky Lab. Inoltre altre somiglianze nelle tattiche, tecniche e procedure (TTPs), ha portato i ricercatori alla conclusione preliminare che l'Olympic Destroyer fosse un'altra operazione di Lazarus. Tuttavia, alcune incongruenze con i TTPs di Lazarus scoperti dalla ricerca di Kaspersky Lab nella struttura compromessa in Corea del Sud hanno portato i ricercatori a riesaminare il raro artefatto.
In seguito ad un'attenta analisi delle prove e alla verifica di ciascuna caratteristica, i ricercatori hanno scoperto che l'insieme delle caratteristiche non corrispondeva al codice che, invece, era stato “forgiato” per adattarsi perfettamente all'impronta digitale usata da Lazarus. Di conseguenza, i ricercatori hanno concluso che l’"impronta digitale" è un false flag molto sofisticato, intenzionalmente collocato all'interno del malware per dare ai “cacciatori di minacce” l'impressione di aver trovato prove schiaccianti evitando la sua attribuzione corretta”.

"Le prove che siamo stati in grado di trovare non sono state utilizzate precedentemente per l'attribuzione. Eppure gli aggressori hanno deciso di usare il malware, prevedendo che qualcuno l’avrebbe trovato e contando sul fatto che la falsificazione di questo artefatto è molto difficile da dimostrare. È come se un criminale avesse rubato il DNA di qualcun altro e l'avesse lasciato sulla scena del crimine al posto del proprio, ma abbiamo scoperto e provato che tutto ciò è successo volutamente. Questo dimostra quanto i cyber criminali siano disposti ad investire per rimanere non identificati il più a lungo possibile. Inoltre abbiamo sempre ribadito come sia difficile una corretta attribuzione nel cyberspazio poiché molte cose possono essere simulate, e l'Olympic Destroyer ne è un esempio", precisa Vitaly Kamluk, Head of APAC Research Team di Kaspersky Lab.

"Un altro elemento molto importante da sottolineare è che l'attribuzione deve essere presa sul serio, dato il modo in cui il cyberspazio è diventato sempre più politicizzato. L'attribuzione sbagliata potrebbe portare a gravi conseguenze e gli attori potrebbero iniziare a manipolare l'opinione della comunità di sicurezza per influenzare l'agenda geopolitica", aggiunge Kamluk.

L'attribuzione accurata dell’Olympic Destroyer è ancora una questione aperta − semplicemente perché è un esempio unico dell'implementazione di false flag molto sofisticate. Tuttavia, i ricercatori di Kaspersky Lab hanno scoperto che gli aggressori hanno utilizzato il servizio di protezione della privacy NordVPN e un hosting provider chiamato MonoVM, (che accettano entrambi i Bitcoin), oltre a TTPs scoperti e conosciuti per essere usati da Sofacy, attore di lingua russa.

I prodotti Kaspersky Lab rilevano e bloccano con successo il malware Olympic Destroyer.

la Redazione

09.03.2018


Iscriviti alla newsletter di S News

Per rimanere sempre aggiornato sulle ultime novità della sicurezza,
iscriviti alla nostra newsletter.

\\ Articoli correlati

L’evoluzione strategica della security: l’asset determinante nel futuro delle imprese. Il Programma definitivo dell’evento

Si tiene venerdì 22 Giugno con inizio alle ore 10:00, nell'esclusiva location della...

Biradio: periferica di teleallarme radio di Urmet Ate

BIRADIO è la periferica radio targata Urmet Ate, bidirezionale e operante su frequenze...

Euralarm study on false alarms

Euralarm has carried out a European study on false alarms. The study has been conducted by a...

Seguici Su

   

Iscriviti alla newsletter di S News

Per rimanere sempre aggiornato sulle ultime novità della sicurezza, iscriviti alla nostra newsletter.