Chi c’è dietro all’attacco a Sony?

Chi c’è dietro l’attacco alla Sony?

La notizia dell’attacco Sony giunge come un fulmine a ciel sereno in pieno clima natalizio. Le origini di questo attacco pare affondino in un film-commedia dal titolo “The Interview” che tratta di due giornalisti che organizzano un’intervista con il leader nordcoreano Kim Jong Un con lo scopo di ucciderlo.

Sony-hack-1024x767

 

Sony, non avendo imparato la lezione (ricordiamo l’attacco contro la PlayStation Network risalente alla primavera del 2011) è ora la protagonista principale di questo serio ed umiliante attacco alla sicurezza.

Ecco quello che è successo:

Un gruppo hacker, vicino alle idee del partito democratico nordcoreano, ha violato i sistemi della Sony Pictures Entertainment. In seguito, senza un ordine preciso, gli hacker hanno iniziato a diffondere frammenti dei documenti trafugati tra cui, ma non solo, parti del film, sceneggiature, tessere sanitarie degli dipendenti e mail private scambiate tra i manager della produzione. Infine, gli hacker hanno minacciato di attaccare le sale dove verrà lanciato il film, seminando il panico tra le grandi sale; Regal Cinemas, una delle principali catene statunitense, ha detto che non proietterà il film e Sony, a quel punto, ha deciso di posticipare il lancio.

In linea di massima, quando un attacco è stato finanziato da uno stato viene sempre condotto nel modo più discreto possibile.

Nonostante non si possa esserne certi, l’opinione pubblica crede che dietro l’attacco ci sia la Corea del Nord. In linea di massima, quando un attacco è stato finanziato da uno stato, viene sempre condotto nel modo più discreto possibile ed in segreto. Osservando un gruppo o una campagna APT (advanced persistent threat) è difficile affermare con certezza che l’attacco sia stato lanciato da una nazione, lo si può solo supporre. Per un criminale, l’obiettivo è quasi sempre quello di non lasciare chiaro chi sia il responsabile; a questo va aggiunto che, su Internet, l’attribuzione di un reato non è mai una scienza perfetta.

In questo caso, il gruppo che ha rivendicato la paternità dell’attacco ha pubblicato sui computer della rete Sony uno strano video con degli scheletri. In genere ai gruppi APT non interessa annunciare la loro presenza sulle reti violate. Non è la prima volta che il gruppo i Guardiani della Pace (Guardians of Peace) attacca la Sony, i cineasti ed il pubblico americano in generale.

La questione però rimane aperta: la Corea del Nord è in qualche modo collegata all’attacco? Threatpost e alcune importanti testate giornalistiche, basandosi sulle dichiarazioni del governo statunitense, stanno sostenendo l’ipotesi del coinvolgimento della Corea del Nord (citando testualmente “centrally involved”). Al momento non sono state ancora rivelate maggiori informazioni su quella che è l’opinione della Casa Bianca, ma ci si aspetta una dichiarazione pubblica nella tarda giornata di oggi.

Wired, invece, ha la sua propria opinione in merito: secondo la rivista, non ci sarebbero prove sufficienti che collegherebbero l’attacco a Sony con la Corea del Nord. Wired cita la difficoltà di attribuire la paternità degli attacchi, così come le affermazioni di Sony e FBI (entrambe sostengono che non ci sono prove che puntano il dito sulla Corea del nord) e bisogna dire che è difficile non essere d’accordo con Wired. Perché un governo straniero dovrebbe attaccare pubblicamente un’azienda straniera attraverso un film?

In realtà i motivi potrebbero essere diversi.

C’è chi sostiene che la Corea del Nord abbia utilizzato il dissenso nei confronti del film “The Interview” come pretesto per dimostrare la propria forma (la sua cyber-forza).

“Non si tratta del film e nemmeno di Sony, almeno non del tutto” scrive l’ Immunity CEO, nonché ex scienziato della NSA, Dave Aitel, sulla Daily Dave mailing list: “quando costruisci un programma nucleare, devi fare esplodere almeno un missile per far capire agli altri quello che sei capace di fare. Lo stesso vale per il Web”.

Come ha riportato Threatpost questa mattina, Aitel era uno dei primi ad aver ipotizzato il coinvolgimento della Corea del Nord nell’attacco a Sony e collegato l’accaduto con il presunto coinvolgimento dell’Iran nell’attacco Shamoon che distrusse 30.000 workstation della compagnia petrolifera, Saudi Aramco, nel 2012.

“Iran ha fatto lo stesso a Saudi Aramco solo per fargli vedere quello di cui sono capaci, se volessero” afferma Aitel. “Ed è proprio quello che è successo a Sony”.

Sebbene perfettamente plausibili, queste sono solo ipotesi; non sappiamo perché o come la Corea del Nord possa essersi sentita spinta a lanciare un tale attacco, nonostante ciò c’è un indizio reale che appunterebbe alla corea.

In un articolo di Securelist di questo mese, Kurt Baumgartner, ricercatore di Kaspersky Lab, ha evidenziato alcune similitudini tra quest’ultimo attacco alla Sony e altri hackeraggi attribuiti alla Corea del Nord. Baumgartner ha notato che gli hacker coprivano le loro tracce utilizzano un malware wiper distruttivo chiamato Destover che sovrascriveva gli hard disk aziendali. Lo stesso malware pare sia stato usato negli attacchi DarkSeoul contro la Corea del Sud, attribuiti alla Corea del Nord.

L’attacco a Sony non si può dar per concluso e ci sono ancora un sacco di domande aperte. Rimarremo in ascolto e con un po’ di fortuna copriremo chi c’è dietro e quali sono i motivi che hanno portato all’attacco.

Consigli