La cyber arma EternalBlue sottratta alla NSA paralizza Baltimora

414696

Negli Stati Uniti non verrà dimenticata molto facilmente la cyber estorsione che da qualche settimana – dopo un potente attacco hacker – sta paralizzando centinaia di servizi nella città di Baltimora, nel Maryland. E non solo perché ci si trova di fronte a uno dei casi più eclatanti di ciò che può significare, nell’era digitale, subire un’offensiva alle proprie infrastrutture critiche e a gangli informatici vitali.

Ma anche perché alla base del tool malevolo utilizzato contro i sistemi della municipalità ci sarebbe EternalBlue, uno strumento sviluppato proprio negli Usa dalla National Security Agency, che ora minaccia di colpire altri centri urbani del Paese.

leaked-nasa-spying-tool-used-in-attack-against-baltimore-government-e1558903275167-319x189

L’attacco a Baltimora, spiegano i media d’oltreoceano, sembra una classica offensiva ransomware. All’inizio di maggio gli schermi dei dipendenti comunali si sarebbero improvvisamente bloccati, dopodiché un messaggio, scritto in un inglese imperfetto, avrebbe richiesto 100mila dollari in bitcoin per riavere disponibili i propri dati.

Il sindaco Bernard Young (appena eletto al posto dell’uscente Catherine Pugh) si è rifiutato di pagare, così solo pochi servizi sono stati finora ripristinati al meglio. Il disagio e i problemi sono stati e sono enormi: vendite e acquisti bloccati, registri inaccessibili, sistemi della polizia e portale delle imposte in tilt, per dirne alcuni.

Si tratta, in parole povere, di una offensiva di vasta portata, forse difficile da impedire vista la digitalizzazione crescente di una moltitudine di servizi, ma che tuttavia, rilevano gli esperti americani, non sarebbe stata così devastante senza il contributo di EternalBlue, un tool che sfrutta una vulnerabilità in un software senza patch che avrebbe consentito agli hacker di diffondere il proprio malware più velocemente e più lontano di quanto avrebbero fatto altrimenti.

150420164415-bernard-c-jack-young-baltimore-city-council-lead-intv-04-20-large-169

La violazione dell’agenzia d’intelligence americana (mai confermata), ricorda il New York Times, risale al 2017. Dopo quella data, un team di hacker denominato Shadow Brokers (a partecipazione sia russa sia nordcoreana) avrebbe venduto nel dark web quanto in suo possesso (non è chiaro se sia stato il collettivo ad averlo sottratto o se lo abbia ricevuto per altre vie) ad altrettanti criminali.

Alla Nsa sarebbero stati sottratti anche altri due strumenti di hacking, Eternal Synergy e Double Pulsar, i quali, secondo un’indagine di Symantec, sarebbero finiti nelle mani del team di hacker cinese Buckeye, che li avrebbe a sua volta diffusi.

Ad ogni modo, di lì a poco, agenzie di intelligence straniere – che secondo gli Stati Uniti potrebbero essere coinvolte nel caso – e gruppi di hacker al loro soldo, avrebbero utilizzato EternalBlue per liberare il malware, che nel tempo ha paralizzato ospedali, aeroporti, operatori ferroviari e marittimi, Atm e fabbriche.

untitled

Ora lo strumento sta colpendo direttamente gli Stati Uniti in zone più vulnerabili, dove l’infrastruttura digitale è meno rinforzata e aggiornata. Prima che i suoi segreti trapelassero, EternalBlue era uno degli exploit più utili nell’arsenale cyber della Nsa, utilizzato in innumerevoli missioni di raccolta di informazioni e antiterrorismo.

La Corea del Nord sarebbe stata, secondo le ricostruzioni Usa, la prima nazione ad usare il tool nell’offensiva del 2017 di WannaCry, che colpì circa 200mila realtà in tutto il mondo, causando danni ingentissimi.

Poi ci sarebbe stata la Russia, che avrebbe utilizzato l’arma per NotPetya. Questa offensiva, partita dall’Ucraina, si è poi scagliata contro diverse aziende. Spazio, infine, anche per hacker iraniani, che lo avrebbero usato per colpire alcune compagnie in Medio Oriente.

Un mese prima che gli Shadow Brokers iniziassero a mettere online gli strumenti dell’agenzia nel 2017, la Nsa, – consapevole della violazione – contattò alcune società tecnologiche per informarle dell’esistenza di alcune vulnerabilità ‘zero day’ nei loro software, sulle quali faceva leva anche EternalBlue.

NSA-Logo-min

In particolare Microsoft rilasciò una patch, ma centinaia di migliaia di computer in tutto il mondo non sono ancora oggi protetti. Gli hacker, infatti, avrebbero trovato un punto debole non solo a Baltimora, ma anche a Allentown (in Pennsylvania) e a San Antonio (in Texas), dove le reti pubbliche utilizzavano software obsoleti. E nonostante le indagini dell’Fbi siano ancora in corso, oltreoceano si discute di come evitare in futuro casi simili.

Da un lato emerge la necessità di rendere più resilienti le cyber difese delle città, tanto più alla vigilia dell’introduzione del 5G che moltiplicherà gli oggetti connessi e, dunque, i punti di accesso alle reti per i malintenzionati.

Dall’altro quella di proteggere meglio le cyber armi utilizzate dai servizi di intelligence, anche attraverso un ricorso sistematico al cosiddetto Vulnerabilities Equities Process, un processo utilizzato dal governo federale degli Stati Uniti per determinare, caso per caso, come trattare le vulnerabilità della sicurezza informatica zero-day; se divulgarle al pubblico o ai soggetti in pericolo per contribuire a migliorare la sicurezza generale o mantenerli segreti per uso offensivo contro gli avversari della nazione.

Fonte Cyber Affairs

 

 

Login

Benvenuto! Accedi al tuo account

Ricordami Hai perso la password?

Lost Password