Sorpresa: I Nork non sono in realtà all’origine dell’epidemia di malware denominato ” Olympic Destroyer ” – Kaspersky

Un’analisi approfondita del codice che ha distrutto parte della rete dei computer delle Olimpiadi invernali del 2018 rivela un piano scaltro per far ricadere ingiustamente le accuse sulla Corea del Nord.

Il primo giorno dei giochi a Pyeongchang, in Corea del Sud, il sito Web principale si è bloccato, le reti Wi-Fi attorno agli eventi sono diventate inutilizzabili e i dati sono stati cancellati dai server a causa del malware successivamente soprannominato Olympic Destroyer. Gli addetti alla sicurezza IT avevano avvertito di un attacco informatico che si sarebbe manifestato prima dell’evento, dopo che era stata localizzata una campagna di phishing e l’attacco era stato respinto piuttosto rapidamente.

Nelle settimane che seguirono, diverse analisi si erano indirizzate su un attacco, frutto del lavoro di una squadra di hacking sponsorizzata dallo stato nordcoreano alias Gruppo Lazarus. Tuttavia, da uno studio eseguito da parte degli ingegneri di Kaspersky Lab, emergerebbe il fatto che Lazarus non ha scritto il codice, nonostante le apparenze sembrino dire il contrario.

Vitaly Kamluk, un capo del team di ricerca APAC di Kaspersky Lab, ha dichiarato questa settimana al Summit degli analisti della sicurezza nel settore degli antivirus, che l’attribuzione errata dell’attacco poteva essere comprensibile. I dati cancellati in parte da Olympic Destroyer sembrano, a prima vista, esattamente identici a quanto spazzato via dal Gruppo Lazarus, nel corso dell’iniezione del malware Bluenoroff, responsabile di una rapina informatica da 81 milioni USD ai danni della Central Bank of Bangladesh dello scorso anno –  con la dimissione dei vertici.

Ha detto: “Possiamo dire con il 100% di certezza che è errato attribuire l’attacco a Lazarus”-

Ma la funzione di pulizia contenuta nella intestazione Rich contenente alcuni metadati lasciava intendere l’ambiente di sviluppo in cui era scritto il codice. Il codice di Olympic Destroyer mostrava che era stato sviluppato usando Visual Studio 10 e fatto apparire come se il codice fosse lo stesso del C ++ – scritto con Bluenoroff.

“L’unica conclusione ragionevole che può essere tratta è che l’intestazione Rich per la funzione di pulizia  è stata deliberatamente copiata dai campioni Bluenoroff; è un falso e non ha alcuna connessione con il contenuto del file binario “, afferma il rapporto tecnico di Kaspersky sulla materia.

“Non è  del tutto possibile comprendere il perché di questa azione, ma sappiamo con certezza che i creatori di Olympic Destroyer hanno intenzionalmente modificato il loro prodotto per farlo assomigliare ai campioni Bluenoroff prodotti dal gruppo Lazarus”.

Allora, chi ha scritto il codice? Kamluk ha detto di non saperlo con certezza, ma che alcuni dei metodi di propagazione e le VPN utilizzate nell’attacco potrebbero collegarlo al gruppo APT28 sponsorizzato dallo stato russo.

Costin Raiu, direttore della ricerca e dell’analisi globale di Kaspersky, ha avvertito i partecipanti alla conferenza che per i prossimi due anni, l’attribuzione potrà rivelarsi difficoltosa. Le società di sicurezza stanno costruendo database di codici che potrebbero automatizzare l’attribuzione dei campioni di malware, ma contemporaneamente i programmatori diventano più intelligenti e in futuro, potremmo vedere nuovamente in atto simili operazioni di false assegnazioni.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *