Tutti i prezzi sono validi al momento della pubblicazione. Se fai click o acquisti qualcosa, potremmo ricevere un compenso.

(Not)Petya paragonabile a un atto di guerra, secondo la NATO

03 Luglio 2017 119

Abbiamo parlato spesso di come molti ricercatori di sicurezza non credano alla componente ransomware degli ultimi, arcinoti cyber-attacchi mondiali noti come WannaCry e NotPetya (o Petya). La motivazione è semplice: non hanno fatto soldi a sufficienza, e quando vuole un ransomware può fare molto male. In entrambi i casi, sembra che sia un comportamento voluto dagli hacker. NotPetya, in particolare, è un virus molto raffinato, sofisticato e intelligente, ma la componente dedicata alla richiesta del riscatto è talmente mal implementata che nemmeno un dilettante della peggior specie la considererebbe una buona idea.

Insomma, le possibilità che si tratti di un gruppo di cybercriminali senza affiliazione politica sono molto scarse; l'hanno detto varie società di sicurezza e lo sostiene anche la divisione della NATO che si occupa di cybersicurezza (il CCDCOE, ovvero Cooperative Cyber Defence Centre of Excellence). Che ricorda che l'attacco, nelle giuste condizioni, potrebbe essere considerato un vero e proprio atto di guerra, virtualmente indistinguibile da un'azione militare fisica.

Il CCDCOE osserva che, sebbene non ci siano stati danni fisici a cose o persone come potrebbe accadere - per esempio - con un missile, NotPetya ha volontariamente preso di mira sistemi e servizi del governo ucraino, configurandosi quindi come violazione del principio di sovranità.

Se l'operazione si potesse collegare a un conflitto armato in corso, andrebbero applicate le leggi del conflitto armato, almeno nella misura in cui si accertassero danni fisici a persone o cose [...] Dato che sono stati attaccati importanti sistemi governativi, in caso di accertamento della responsabilità di una nazione straniera può contare come violazione del principio di sovranità. Di conseguenza, si potrebbe considerare un atto di ostilità internazionale, che potrebbe garantire alle nazioni colpite la possibilità di rispondere con svariate contromisure.

I Paesi colpiti, quindi, sarebbero autorizzati a rispondere "a tono" - e questo non escluderebbe operazioni militari fisiche. Ma manca un tassello fondamentale: non ci sono prove certe del coinvolgimento di uno o più Paesi. È chiaro che, nel caso dell'Ucraina, la Russia è il sospettato numero uno: i due paesi sono in conflitto da tempo e, soprattutto, nessun altro ha ostilità aperta nei suoi confronti.

È chiaro che congetture e prove circostanziali non possano essere sufficienti una risposta ufficiale dalla NATO, che comunque avvisa: è necessaria una risposta coordinata a questo nuovo tipo di minaccia da parte degli stati membri.


119

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Manuel Calavera

Bravo, la pensi proprio come me. Una volta i tipi di malware più comuni erano i virus, i worm, i trojan e i dialer. Oggi queste cose non esistono quasi più, la stragrande maggioranza dei malware è composta da ransomware, programmi rogue, adware e spyware. I virus di una volta che si passavano coi floppy disk forse li poteva scrivere il nerd di turno, ma queste nuove tiplogie di malware no. È chiaro che dietro dei lavori così complessi ci sono dei professionisti ben organizzati.

NicoRoma90

anche secondo me è così e non solamente aziende che fanno antivirus, ma anche aziende che fanno virus "di professione"... d'altronde fare virus fatti bene e su scala globale di sicuro non può essere il "cracker" sfigatello che si vede di solito nei film, rinchiuso in uno scantinato... servono tempo, soldi e infrastrutture adeguate per svilupparlo, testarlo e prolificarlo...

Dajant

Si ma ti accorgi che non hai un minimo di coerenza?

takaya todoroki

non ne hanno assolutamente bisogno, visto che il mondo è pieno di criminali informatici/lamerozzi

Manuel Calavera

Non lo escluderei. Io ho sempre pensato che buona parte dei malware viene creato dalle aziende che producono gli antivirus, così hanno un motivo in più per venderli.

Liberated_Slave

non c'è paragone,dove si è sparsa la cultura occidentale ha creato solo benessere

NicoRoma90

e se chi facesse i malware fosse proprio un'azienda pagata apposta per farlo?

Dajant

Eh certo ti lamenti che loro vogliono importi la loro cultura, ma poi ti vorresti noi facessimo lo stesso.

Luca

Rottomarino a manovella: l'obbiettivo è quello di avvicinarsi al nemico e scappare subito dopo.

trhistan

Ecco: questo è quello che cercano di farci credere.
Abbiamo venduto milioni di km quadrati agli usa per le basi nato e in cambio abbiamo ricevuto l'illusione di contare qualcosa all'interno dei paesi civilizzati.

Liberated_Slave

fosse per me darei tutto il mediooriente agli ebrei,almeno non avremmo terroristi,stupratori,donne col burka e gente che viene a vivere qui e pretende di dettar legge

Liberated_Slave

tu la figura di melma l'hai già azzeccata

Manuel Calavera

In diversi articoli ho letto chiaramente "SOME VARIANTS". Quindi ricapitolando, tutte le versioni del ransomware sfruttano la vulnerabilità Eternalblue (patchata a marzo) e/o Eternalromance (anch'essa patchata a marzo). Alcune varianti, oltre a quelle, tentano di diffondersi anche con wmic e psexec, ma possono farlo solo se il PC ha privilegi di amministratore e permessi in scrittura nei PC collegati alla rete. Secondo alcuni siti inoltre la patch di sicurezza di maggio renderebbe impossibile la diffusione del malware tramite questi ultimi due metodi, ma è da verificare.

In ogni caso, l'infezione era prevenibile, almeno al di fuori dall'Ucraina. Capisco che se uno scarica un aggiornamento di un programma non immaginerebbe mai che possa nascondere un virus, e che quindi non faccia più di tanta attenzione, ma per chi è stato infettato cliccando su un allegato proveniente da una mail sconosciuta non ci sono scuse.

Che poi, se a me si fosse riavviato improvvisamente il PC e fosse venuto fuori uno pseudo scan disk in inglese, io due domande me le sarei fatte. Avrei subito riavviato il PC e controllato eventuali attività sospette con un live CD e/o effettuato un ripristino nel caso fosse stato troppo trdi.

Me? Giugorie.

ALCUNE varianti? UNA ne esiste, e la prima e unica si muoveva dentro alle organizzazioni tramite Eternalblue, Eternalromance, wmic e psexec tramite password rubate dalla memoria del pc compromesso. Basta fare disinformazione.

Poi arbitriamente proclami che il metodo principale di diffusione è stato Eternalblue, dopo che mezzo mondo ha patchato dopo essersi cagati addosso in seguito al boom mediatico di WCry. Ciò che i sysadmin spiegano essere la caratteristica devastante di NotPetya era appunto la combo Mimikatz, wmic e psexec.

VaDetto

Era meglio se non ti avessero liberato!!
Facevi più bella figura!!

Andreapso

Quel of Excellence lo dovevano proprio mettere...

Fabrz

Probabilmente si, dato che stai ignorando le responsabilità di mezza europa. Per esempio i casini che succedono periodicamente nelle periferie francesi per esempio sono conseguenza diretta dell'occupazione nordafricana francese con cui c'entrano poco gli americani. Voglio dire, gli americani hanno tante responsabilità, ma non sono gli unici. Anche noi abbiamo seminato tanto odio.
Senza contare che non abbiamo idea di come sarebbero andate le cose se gli US si fossero fatti i caxxi loro dalla ww2 in poi.

Slade

Devo aggiungerlo alla mia lista?

Slade

Loro odiano l'occidente perchè gli americani sono sempre andati là a ficcare il naso nei loro affari e a dettare ordini in paesi che non sono l'america, perchè gli hanno tolto del territorio "d'ufficio" per darlo ai loro amichetti. Perchè tanto l'abbiamo deciso noi USA, e siccome noi siamo forti, noi può.

Liberated_Slave

così come la tua cretineria e la tua ignoranza

Manuel Calavera

Ho citato gli hacker dei film proprio perché nella realtà non esistono e non funziona assolutamente così.

Manuel Calavera

Solo in Ucraina il virus arrivava con l'aggiornamento, infatti il programma in questione è un gestionale ucraino di nome Medoc che nessuno aveva mai neanche sentito nominare al di fuori dell'Ucraina. Nel resto del mondo, Italia compresa, è arrivato con il classico metodo utilizzato da WannaCry e da tutti gli altri ransomware in passato, cioè via mail come allegato. In questo caso bastava un minimo di buon senso per prevenire l'infezione.

Quanto alla seconda parte, hai decisamente esagerato. Soltanto un paio di siti riportano la notizia, e sostengono che ALCUNE varianti di NotPertya potrebbero diffondersi tramtie psexec e wimc, SOLO se il PC originario ha i permessi di scrittura su quelli da infettare. Pare che inoltre che i PC con la patch di sicurezza del 9 maggio siano immuni. Il metodo principale di diffusione del ransomware resta comunque l'exploit Eternalblue che è stato risolto il 14 marzo.

il Gorilla con gli Occhiali

Infatti è una Cyber-War.

icos

Gli "hacker" che vedi nei film lasciali nei film, che poco hanno a che vedere con la realta'. Chi ha scritto quel malware, secondo diverse fonti, aveva scopi ben precisi: che poi abbia "usato" utenti poco attenti o vulnerabilita' sconosciute poco importa, si tratta solo di vettori diversi ma lo scopo finale e' il medesimo.

Sungfive52

perfetto. Non si sa mai :)

VaDetto

Compreso in pieno!

Sungfive52

Allora se ho travisato le tue parole, credendo che tu volessi dire che l'uomo solo al comando è meglio di una democrazia, ti chiedo scusa. In quel caso ti do ragione, l'italiano non si informa, è spesso incivile, non riesce a rapportarsi con gli altri senza crear casini, è ign0rante. La democrazia non fa per noi perchè non siamo un popolo avanzato dal punto di vista civile.
In caso contrario stai dicendo solo minchi@te.

VaDetto

La tua arguzia e il tuo acume ti contraddistingue dagli altri vedo...

VaDetto

Se osservi i governi da Mussolini ad oggi, ti è parso di vivere in una democrazia o in una oligarchia di pochi, molto pochi?

Non ridere in maniera sciocca, si serio

Me? Giugorie.

No. Non devo informarmi io.

"- All'interno del setup di un programma gestionale perché qualcuno aveva
sostituito il file pulito sul sito con uno infetto. Ovviamente in
questo caso nessuno poteva saperlo."

Confermi quello che ho detto io, arrivava con un aggiornamento.

"Una volta aperto infettava ovviamente il PC corrente, poi sfruttava una
vulnerabilità del protocollo Samba per diffondersi agli altri PC
collegati alla rete. La vulnerabilità in questione è stata risolta con
la patch di sicurezza del 14 marzo che i sistemisti di tutte le aziende
del mondo avrebbero potuto e dovuto installare."

Tutto qua? E che poi cercava di raccogliere le password di dominio per potersi diffondere su qualunque altro pc, anche PERFETTAMENTE AGGIORNATO, nella rete tramite wmic e psexec non lo sai? ahi ahi ahi.

Andrej Peribar

A parte che mi sento sporco a difendere certa gente, premesso.

Ma non solo non ha aderito a queste regole, ma non ha usato suddette armi su governi protetti da trattati internazionali.

Lo dico perché, per me, è molto indicativo che lo scopo non è difendere le minoranze deboli ma avere un pretesto per assecondare gli interessi dei forti.

Manuel Calavera

Mi sa che sei tu quello che deve informarsi. Il ransomware arrivava principalmente in due modi:

- All'interno del setup di un programma gestionale perché qualcuno aveva sostituito il file pulito sul sito con uno infetto. Ovviamente in questo caso nessuno poteva saperlo.

- Come allegato via mail, cammuffato da documento. Questa è una pratica comunissima per praticamente tutti i tipi di malware e ben conosciuta da anni al pari del phishing, se uno ancora oggi ci casca forse è meglio che non usi mai più Internet in vita sua.

Una volta aperto infettava ovviamente il PC corrente, poi sfruttava una vulnerabilità del protocollo Samba per diffondersi agli altri PC collegati alla rete. La vulnerabilità in questione è stata risolta con la patch di sicurezza del 14 marzo che i sistemisti di tutte le aziende del mondo avrebbero potuto e dovuto installare. Se l'avessero fatto, l'infezione sarebbe stata limitata solo ai PC in cui è stato scaricato manualmente il ransomware. Non l'hanno voluta installare? Cavoli loro!

Me? Giugorie.

Non è "talmente mal implementata", ma è un wiper mascherato da ransomware. E' una notizia di diversi giorni fa.

Me? Giugorie.

NotPetya è un wiper

Me? Giugorie.

il ransomware arrivava con un aggiornamento di un programma, e poi si diffondeva anche su computer perfettamente patchati. Informati e POI parla.

takaya todoroki

Secondo ma la risposta più probabile è un'altra: è un banale proclama per dimostrare che stanno facendo qualcosa, ben sapendo che servirà a poco.

takaya todoroki

Sì ma non è che non puoi farne parte...
Le armi chimiche sono vietate per trattato internazionale ma non è che uno può lanciarle lo stesso e poi dire, 'hey sono uscito dal trattato quindi posso' ;)

M3r71n0

E infatti, questo malware altro non era che una versione modificata di un lecitissimo software di contabilità (certo M.E.Doc IS) che necessita di rete SMB per funzionare.
Allora perchè questa nuova funzione se non limitare a prescindere sempre più l'utente e le operazioni che può compiere sul proprio pc?

Sungfive52

ottimo, l'uomo solo al comando ahah

Sungfive52

eh beh certo

Sungfive52

ahah non la sapevo quella dei tunnel che son diventati attrazione turistica :)

MarcoCau

Atto di guerra? nel caso fosse possibile scegliere, attaccatemi pure con Petya o Wannacry, tanto c'ho il backup del pc al sicuro...
Il backup di casa mia, nel caso di una bomba a guida laser, ancora non ce l'ho disponibile. Tanto meno quello delle vite...

Manuel Calavera

Certo, ma da come ne parlano i media, sembra che ci fossero degli hacker senza scrupoli come quelli che si vedono nei film, che sono penetrati volutamente nei PC delle aziende e, la volta scorsa, addirittura degli ospedali. Invece sono stati i dipendenti di tali aziende ad essere poco furbi. Se uno clicca sugli allegati che arrivano nella cartella di spam, tra l'altro su un PC in cui non sono state installate le patch di sicurezza, sono cavoli suoi e a me non dispiace per nulla. Sia ben chiaro, gli autori dei malware sono criminali e come tali vanno puniti, ma andrebbe punita anche la stupidità di chi non ha la più pallida idea di quello che sta facendo e di conseguenza infetta i PC di tutta l'azienda.

Liberated_Slave

libero di andartene in nord corea,un fascio in meno qui in italia

takaya todoroki

utilissimo: basta che l'exe maligno automatizzi un applicazione office. E quest'ultima è in white list per forza...

takaya todoroki

Poche idee ma confuse: c'è un'intenzione e c'è un risultato.
Questo è ciò che conta per qualsiasi sistema legislativo.

Manuel Calavera

Quand'è che finirà il trend di chiamare queste infezioni "attacchi"? Non c'è stato nessun attacco. Non c'erano gli hacker cattivi che entravano nei PC. Sono stati gli utenti a scaricare manualmente il ransomware

takaya todoroki

Kim Ciccio ma ha mandato pigia_qui.exe!
Corro dall'ONU a chiedere di lanciare il Buster Call

Andrej Peribar

Ma purtroppo dei trattati (se non erro) lui non fa parte.

takaya todoroki

il ciccio coreano, sembra un c*glioncello, ma gli hanno insegnato e usa nel modo migliore tutte e dico tutte le tecniche che servono a tenere al guinzaglio il popolo.

Microsoft crede ancora in Office: in arrivo nel 2024 per aziende e privati

Recensione Asus Zenbook 14 OLED, ecco come va con il nuovo Intel Core Ultra 7

Abbiamo rifatto la nostra workstation, ora è tutta ASUS ProArt!

Acer Predator, nuovi laptop in arrivo. C'è anche un monopattino! |VIDEO