Un sofisticato false flag ha depistato gli esperti

Una recente ricerca sugli attacchi del malware Olympic Destroyer ha scoperto un false flag molto sofisticato, posto all’interno del worm da parte del creatore del malware, che permette di depistare i “cacciatori di minacce” dalla vera origine.

Il worm Olympic Destroyer ha fatto notizia ai Giochi olimpici di Pyeongchang, quando si è verificato un attacco informatico che ha paralizzato temporaneamente i sistemi IT prima della cerimonia ufficiale di apertura, spegnendo i monitor, eliminando il Wi-Fi e bloccando il sito web delle Olimpiadi in modo che i visitatori non fossero in grado di stampare i biglietti. Dalla ricerca è inoltre emerso che diverse strutture di impianti sciistici della Corea del Sud hanno subito l’attacco da parte di questo worm, che ha disabilitato il funzionamento dei cancelli e degli impianti di risalita delle località. Sebbene l’impatto reale degli attacchi con questo malware fosse limitato, resta indiscussa la sua potenziale capacità d’essere devastante.

Tuttavia, il vero interesse per chi si occupa di sicurezza informatica non risiede nel potenziale o reale danno causato dagli attacchi del Destroyer, ma nell’origine del malware. Fino ad ora nessun altro malware ha avuto così tante ipotesi di attribuzione: nel giro di pochi giorni dalla sua scoperta, gruppi di ricerca di tutto il mondo hanno attribuito questo malware a Russia, Cina e Corea del Nord, basandosi su una serie di caratteristiche precedentemente attribuite al cyber-spionaggio e a sabotatori che si presumeva fossero basati in questi Paesi o che lavorassero per questi governi.

I ricercatori hanno cercato di capire quale gruppo di hacker fosse nascosto dietro questo malware e ad un certo punto sembrava che tutti gli indizi rimandassero al 100% a prove che collegavano il malware a Lazarus, un noto gruppo di hacker sostenuto dagli stati nazione e legato alla Corea del Nord.

Questa conclusione si è basata sull’unica traccia lasciata dagli aggressori. Una combinazione di alcune funzionalità nell’ambiente di sviluppo del codice memorizzato nei file che può essere utilizzata come “impronta digitale” e che, in alcuni casi, permette di identificare gli autori di malware ed i loro progetti. Nell’esempio analizzato, questa impronta digitale corrispondeva al 100% ai componenti malware di Lazarus precedentemente noti e non aveva nessun punto in comune con qualsiasi altro file dannoso o non, finora noto. Inoltre altre somiglianze nelle tattiche, tecniche e procedure (TTPs), ha portato i ricercatori alla conclusione preliminare che l’Olympic Destroyer fosse un’altra operazione di Lazarus. Tuttavia, alcune incongruenze con i TTPs di Lazarus scoperti dalla ricerca nella struttura compromessa in Corea del Sud hanno portato i ricercatori a riesaminare il raro artefatto.

In seguito ad un’attenta analisi delle prove e alla verifica di ciascuna caratteristica, i ricercatori hanno scoperto che l’insieme delle caratteristiche non corrispondeva al codice che, invece, era stato “forgiato” per adattarsi perfettamente all’impronta digitale usata da Lazarus.

Di conseguenza, i ricercatori hanno concluso che l’”impronta digitale” è un false flag molto sofisticato, intenzionalmente collocato all’interno del malware per dare ai “cacciatori di minacce” l’impressione di aver trovato prove schiaccianti evitando la sua attribuzione corretta.

“Le prove che siamo stati in grado di trovare non sono state utilizzate precedentemente per l’attribuzione. Eppure gli aggressori hanno deciso di usare il malware, prevedendo che qualcuno l’avrebbe trovato e contando sul fatto che la falsificazione di questo artefatto è molto difficile da dimostrare. È come se un criminale avesse rubato il DNA di qualcun altro e l’avesse lasciato sulla scena del crimine al posto del proprio, ma abbiamo scoperto e provato che tutto ciò è successo volutamente. Questo dimostra quanto i cyber criminali siano disposti ad investire per rimanere non identificati il più a lungo possibile. Inoltre abbiamo sempre ribadito come sia difficile una corretta attribuzione nel cyberspazio poiché molte cose possono essere simulate, e l’Olympic Destroyer ne è un esempio”, ha affermato Vitaly Kamluk, Head of APAC Research Team di Kaspersky Lab. “Un altro elemento molto importante da sottolineare è che l’attribuzione deve essere presa sul serio dato il modo in cui il cyberspazio è diventato sempre più politicizzato. L’attribuzione sbagliata potrebbe portare a gravi conseguenze e gli attori potrebbero iniziare a manipolare l’opinione della comunità di sicurezza per influenzare l’agenda geopolitica”, ha aggiunto Kamluk.

L’attribuzione accurata dell’Olympic Destroyer è ancora una questione aperta − semplicemente perché è un esempio unico dell’implementazione di false flag molto sofisticate. Tuttavia, i ricercatori di Kaspersky Lab hanno scoperto che gli aggressori hanno utilizzato il servizio di protezione della privacy NordVPN e un hosting provider chiamato MonoVM, (che accettano entrambi i Bitcoin), oltre a TTPs scoperti e conosciuti per essere usati da Sofacy, attore di lingua russa.