
Trovato un collegamento fra gli attacchi con BlackEnergy (che nel 2015 tenne al buio 230.000 persone in Ucraina) e Industroyer (che nel 2016 per un’ora spense le luci a Kiev) e il noto ransomware (Not)Petya creato dal gruppo TeleBots, che nel 2017 colpì Paesi come la Francia, la Germania, l’Italia, ma soprattutto l’Ucraina.
I ricercatori di ESET, studiando una nuova backdoor di TeleBots chiamata Exaramel, hanno scoperto che il codice ha molte affinità con la backdoor usata da Industroyer. Nonostante diversi analisti già in passato avessero ipotizzato un legame fra i vari attacchi, fino a oggi non vi erano ancora indizi certi.
Invece ora, grazie all’analisi del nuovo malware, sono venute alla luce similitudini nelle modalità usate per svolgere particolari operazioni, analogie nel codice e nei metodi di attacco che fanno seriamente pensare a uno stesso gruppo dietro ai vari cyber-assalti contro l’Ucraina avvenuti negli ultimi anni. ESET nel suo blog offre maggiori spiegazioni tecniche.
Ovviamente da qui ad accusare concretamente qualcuno o qualche governo estero ce ne passa (pur se il governo ucraino non ha mai fatto mistero di sentirsi sotto costante cyber-attacco russo), anche perché le analogie nel codice e nel modus operandi di un malware possono essere sistemate ad arte come false flag. Restano questi importanti indizi, forse un tassello in più per stringere il cerchio attorno al gruppo TeleBots.