È dell’inizio di questa settimana l’annuncio del comparto sicurezza di SentinelOne sulla scoperta di un pericoloso malware scritto in linguaggio .Net che scatena attacchi su obiettivi israeliani. Apostolo – come è stato ribattezzato – è parte di quel conflitto sotterraneo e invisibile che, unito a quello più tradizionale che fa morti (e quindi notizia nei telegiornali), infiamma i rapporti tra potenze in Medio Oriente.
La missione fondante di questo malware era inizialmente solo di cancellare i dati dei computer colpiti ma in una prima versione, a causa di alcuni problemi nella scrittura del codice, l’obiettivo non veniva raggiunto. Successive versioni hanno risolto alcuni bug e lo hanno fatto diventare un vero e proprio ransomware, capace anche di portare a tutto schermo messaggi di minaccia nei confronti delle vittime per ottenere un riscatto in cambio della chiave di decrittazione dei dati.
L’implementazione della funzione di crittazione viene vista dai tecnici di SentinelOne come una maschera al reale scopo del virus informatico, ovvero distruggere i dati una volta per tutte. Questa tesi viene avallata da una precedente versione di Apostolo, che gli hacker chiamavano tergicristallo per la sua abilità di fare pulizia. Tramite una backdoor chiamata IPSec Helper Apostolo ha dato ai pirati informatici anche la possibilità di implementare on line dei comandi come il download e l’avvio di file eseguibili direttamente dai server di controllo, i cui indirizzi IP risultano celati grazie all’impiego di ProtonVPN.
Sulla base del codice di Apostolo, e di altri elementi probatori, esso dovrebbe essere stato utilizzato da un gruppo di cybercriminali chiamato Agrius avente dei legami col governo iraniano. Alcuni – se non tutti – tra gli hacker di questo nucleo sponsorizzato dall’Iran avevano già esperienza con la cancellazione dei dischi. Nel 2012 il loro malware auto-replicante Shamoon aveva distrutto il contenuto degli hard disk di oltre 30mila workstation della compagnia nazionale saudita di idrocarburi Saudi Aramco.
Anche nel 2016 il gruppo si era reso protagonista, sempre mediante l’utilizzo di Shamoon, dell’attacco a varie organizzazioni in Arabia Saudita, tra cui diverse agenzie governative, attuato nuovamente nel 2019 con un nuovo virus della stessa matrice iraniana chiamato Zerocleare.
Queste vere e proprie bombe informatiche stanno facendo registrare un crescente utilizzo per scopi politici, che non riguardano soltanto il Medio Oriente. Il malware NotPetya ad esempio, scoperto per la prima volta nel 2016, ha inflitto miliardi di dollari di danno in tutto il mondo ed è stato fautore di forti tensioni tra l’Ucraina e la Russia, con quest’ultima colpevole di avere il gruppo di pirati informatici sul proprio libro paga.
La necessità di digitalizzare i processi in ogni campo, spesso non accompagnata da un’adeguata struttura di sicurezza alle spalle, sarà il vero tallone di Achille delle nazioni nei prossimi anni. Molti come il presidente americano lo hanno capito e stanno cercando di porvi rimedio ma molti stati pensano con troppa lentezza e agiscono inutilmente con ritardo. Chi pagherà i danni?
