Gli esperti informatici contattati da Formiche.net concordano con le analisi finora diffuse secondo cui dietro all’attacco cyber virale WannaCry, che ha colpito oltre cento paesi e mandato in blocco migliaia di computer chiedendo un riscatto da pagare per la riattivazione, potrebbe esserci la Corea del Nord. “L’attribuzione è sempre un angolo buio su quello che è accaduto, dunque difficile sbilanciarsi”, almeno apertamente, spiega un hacker buono italiano; per questo, per parlarne con più disinvoltura, si preferisce non essere citati e si è aspettato che l’appeal mediatico, meno tecnico, si sgonfiasse. I punti di collegamento sono due, due prove circostanziali diciamo, di seguito elencate in modo semplificato per rendere l’argomento maneggiabile anche ai meno esperti.
IL CODICE
Primo, una riga del codice informatico che componeva WannaCry. “Attenzione, parliamo dell’originale, già in circolazione da febbraio”, spiega uno degli esperti: quando è stato diffuso inizialmente il virus (in realtà si chiama malware, ma si sceglie “virus” per semplificare) ce n’era un pezzo noto che è stato creato dal Lazarus Group nel 2015. Lazarus è un gruppo cabalistico di hacker che hanno collegamenti più o meno comprovati con la Corea del Nord e che cono ritenuti responsabili dell’attacco alla Sony Pictures per boicottare “The Interview” (un film del 2014 che raccontava i comici tentativi di uccisione da parte della Cia di un dittatore nordcoreano sullo stampo di Kim Jong-un). Quel codice sarebbe stato poi rimosso rapidamente, e non è chiaro se era là come una firma o per una svista, dicono gli analisti informatici. Del coinvolgimento di Lazarus ha parlato per primo il ricercatore di Google Nehal Mehta, poi è stato sostenuto con le solite riserve sulle attribuzioni da Eric Chien della Symantec, azienda americana leader nel mondo degli anti-virus, e successivamente confermato anche dalla russa Kaspersky, che lo scorso anno, dopo mesi di studi ha associato il gruppo anche all’azione fraudolenta contro la Banca del Bangladesh del 2016 – quando furono rubati 80 milioni di dollari da pirati informatici. Kaspersky ha aggiunto: un “false flag” è “possibile” ma “improbabile” (i false-flag sono metodi per creare una facile attribuzione per un attacco, nascondendo il reale responsabile).
LA LINGUA
Secondo aspetto: l’analisi linguistica del messaggio. WannaCry si presentava così: il computer infettato, una volta aperto, metteva a tutto schermo un messaggio contente una richiesta di riscatto (300 dollari da pagare in bitcoin entro un tempo prestabilito, altrimenti sarebbero raddoppiati, in ultimo il mancato pagamento avrebbe prodotto la cancellazione completa dei dati). Il messaggio spiegava che il computer era stato attaccato e dava informazioni su come pagare, ma essendo stato diffuso in diversi paesi è stato necessario scriverlo in varie lingue. Gli analisti di Flashpoint hanno studiato 28 di questi comunicati in lingue diverse e hanno concluso che soltanto quello in cinese è stato scritto da un madrelingua – cinese – gli altri sono stati redatti utilizzando un traduttore. Nel testo in cinese c’è per esempio un errore di battitura che può essere conseguenza di una scrittura diretta e non del copia/incolla da una traduzione. Questa compatibilità linguistica è un altro elemento di contatto con l’azione nordcoreana, e non esclude che il governo di Pyongyang abbia assoldato per certe operazioni tecnici esperti cinesi – come è noto ha fatto in altri campi. Ancora una volta, anche qui la possibilità di false flag esiste, ed è uno dei crucci di chi cerca l’attribuzione per un attacco informatico.
IL PERCHÉ
Se confermati questi collegamenti, la minaccia nordcoreana non avrebbe più solo la faccia tetra della guerra nucleare o quella muscolare delle bocche d’artiglieria sul 38° parallelo, ma anche il volto clandestino della pirateria informatica. Lo scorso weekend s’è tenuta a Bratislava la Global Sec 2017, conferenza internazionale sulla sicurezza (anche informatica) durante la quale Michael Chertoff, co-autore del Patriot Act, ex segretario per la Homeland Security con le amministrazioni Bush e Obama (e oppositore di quella Trump, guidata da un tipo soggetto a reazioni “isteriche … con a portata di mano il bottone nucleare”, così definì il candidato repubblicano durante la campagna elettorale). Come fa uno stato che è fuori dai giri economici, finanziari e commerciali globali a crearsi un mercato, si chiedeva Chertoff nel suo speech?: “Commettendo crimini su scala globale, che si tratti di contrabbando di merci contraffatte, droga, traffico di esseri umani o furto, questo è letteralmente, praticamente uno stato criminale. E così non mi sorprenderebbe se avessero tentato di fare soldi impegnandosi in [una campagna] ransomware ed estorsione” (ransomware è il nome dei virus che bloccano i computer e chiedono un riscatto per farli ripartire, ndr).
