Un indizio lega i malware Industroyer e (Not)Petya

Infografica sulle relazioni fra i vari attacchi di BlackEnergy/TeleBots
Infografica sulle relazioni fra i vari attacchi di BlackEnergy/TeleBots

Trovato un collegamento fra gli attacchi con BlackEnergy (che nel 2015 tenne al buio 230.000 persone in Ucraina) e Industroyer (che nel 2016 per un’ora spense le luci a Kiev) e il noto ransomware (Not)Petya creato dal gruppo TeleBots, che nel 2017 colpì Paesi come la Francia, la Germania, l’Italia, ma soprattutto l’Ucraina.

I ricercatori di ESET, studiando una nuova backdoor di TeleBots chiamata Exaramel, hanno scoperto che il codice ha molte affinità con la backdoor usata da Industroyer. Nonostante diversi analisti già in passato avessero ipotizzato un legame fra i vari attacchi, fino a oggi non vi erano ancora indizi certi.

Invece ora, grazie all’analisi del nuovo malware, sono venute alla luce similitudini nelle modalità usate per svolgere particolari operazioni, analogie nel codice e nei metodi di attacco che fanno seriamente pensare a uno stesso gruppo dietro ai vari cyber-assalti contro l’Ucraina avvenuti negli ultimi anni. ESET nel suo blog offre maggiori spiegazioni tecniche.

Ovviamente da qui ad accusare concretamente qualcuno o qualche governo estero ce ne passa (pur se il governo ucraino non ha mai fatto mistero di sentirsi sotto costante cyber-attacco russo), anche perché le analogie nel codice e nel modus operandi di un malware possono essere sistemate ad arte come false flag. Restano questi importanti indizi, forse un tassello in più per stringere il cerchio attorno al gruppo TeleBots.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society e membro dell'Associazione Italiana esperti in Infrastrutture Critiche. Dal 2006 lavoro presso ESET Italia, dove ricopro il ruolo di Operations Manager. Il blog è personale.