La storia EternalBlue, l’exploit Windows sfruttato per bloccare da tre settimane la città di Baltimora, ci racconta molto del mondo cyber di questi tempi.
L’exploit ha permesso un attacco ransomware con il blocco di migliaia di computer in tutta la città e l’interruzione di ogni tipologia di attività e servizio erogato da aziende e organismi istituzionali.
E prima di questa città americana, altri hanno patito i danni associati all’exploit.
Ebbene, sono in molti gli osservatori a sostenere che EternalBlue sia una creatura prodotta nei laboratori di ricerca e sviluppo proprio della NSA.
Se fino a qualche decennio fa le applicazioni software create per attività di cyber espionage o cyber attack erano custodite gelosamente dalle agenzie governative che le avevano prodotte, attualmente il concetto tanto amato dai funzionati della National Security Agency (NSA) americana, meglio conosciuto con il termine “NObody But US” (NOBUS), sembra essersi dissolto in quella che sembra essere l’attività prevalente del pianeta: il trafugamento delle informazioni per scopo di lucro.
Come nasce EternalBlue
Noto sin dal 2017 e pensato per sfruttare le vulnerabilità delle piattaforme Microsoft, EternalBlue è stato utilizzato in molteplici attacchi informatici per conseguire scopi diversi. Ciò che tuttavia sorprende, in funzione di quanto asserito da esperti del settore, è il fatto che il suo controllo, o meglio il suo codice sorgente, sia passato nelle mani di altri “free players” dell’ecosistema digitale, ovvero gruppi di hacker che sarebbero al servizio di paesi come la Russia, la Corea del Nord e la Cina.
Oltre alla città del Maryland, il malware sembra essersi diffuso anche in Pennsylvania e in Texas, paralizzando le rispettive strutture statali.
Il mistero di The Shadow Brokers
La NSA non commenta gli avvenimenti e neanche smentisce la storia che attribuisce al gruppo hacker The Shadow Brokers la regia della diffusione della cyber weapon sin dall’aprile del 2017.
Anche su questo fantomatico gruppo di hacker aleggia un alone di mistero. Secondo alcuni dietro The Shadow Brokers si nasconderebbero delle spie straniere; secondo altre fonti si tratterebbe di ex agenti statunitensi che avrebbero deciso di mettersi in affari in proprio.
Thomas Rid, un esperto di cyber security della John Hopkins University, ha definito l’episodio degli Shadow Broker “…la più distruttiva e costosa breccia nella storia della NSA” aggiungendo anche che “Il governo ha rifiutato di assumersi la responsabilità o anche di rispondere alle domande più elementari. La supervisione del Congresso sembra fallire. Il popolo americano merita una risposta”. Ma sia la NSA che il FBI hanno rifiutato ogni commento.
Secondo alcune testimonianze di ex operatori della NSA, gli analisti dell’agenzia di intelligence statunitense avrebbero trascorso quasi un anno per perfezionare EternalBlue (inizialmente denominato EternalBluescreen perché si arrestava in modo anomalo sui computer), ma dopo aver risolto i difetti che lo affliggevano si era dimostrato un programma affidabile ed efficace, utilizzato dall’Agenzia statunitense in numerose operazioni di raccolta di informazione e finanche (pare) di antiterrorismo. La validità di EternalBlue avrebbe convinto la NSA a nascondere le sue potenzialità, evitando di allertare la Microsoft sulle vulnerabilità delle proprie piattaforme per oltre cinque anni, almeno fino a quando le notizie sulle violazioni non furono rese pubbliche.
EternalBlue dietro l’attacco a Baltimora, ma non solo
L’attacco di Baltimora, è stato un classico assalto di tipo ransomware. Nei monitor di centinaia di computer, bloccati di colpo, è apparso un messaggio scritto in un inglese imperfetto che imponeva il versamento di 100.000 dollari in Bitcoin per lo sblocco delle workstations. Il messaggio recitava: “Ti abbiamo osservato per giorni“, come riportato dal The Baltimore Sun “Non diremo più nulla, tutto ciò che comprendiamo è il denaro! Sbrigati!”. Ancora oggi, la città di Baltimora risente delle conseguenze dell’attacco informatico, anche se sono state attivate delle procedure e degli interventi mirati per ripristinare le funzionalità delle piattaforme colpite.
EternalBlue sarebbe stato utilizzato anche dalla Corea del Nord nel 2017 per l’attacco condotto dal ransomware WannaCry, che è riuscito a paralizzare il sistema sanitario britannico, le ferrovie tedesche e circa 200.000 organizzazioni in tutto il mondo. Anche la Russia si sarebbe avvalsa dell’applicazione per diffondere il ransomware NotPetya, che prendeva di mira i sistemi Microsoft Windows infettando il master boot record. Anche in questo caso veniva richiesto, per lo sblocco, il pagamento in Bitcoin. L’attacco è costato alla FedEx più di 400 milioni di dollari e al gigante dell’industria farmaceutica Merck, oltre 670 milioni di dollari.
EternalBlue è stato utilizzato, secondo alcune fonti da hackers russi, anche nelle elezioni presidenziali del 2016 per compromettere le reti Wi-Fi degli hotel statunitensi. Anche gli iraniani avrebbero utilizzato il programma per attaccare alcune compagnie aeree in Medio Oriente, secondo quanto asserito da Symantec e FireEye. Vikram Thakur, Security Response Director di Symantec ha affermato: ”È incredibile che uno strumento utilizzato dai servizi di intelligence sia ora disponibile pubblicamente e ampiamente utilizzato“.
I dipendenti pubblici anello debole del sistema
Secondo alcune testimonianze, la NSA avrebbe allertato la Microsoft delle vulnerabilità presenti nei loro software solo dopo il primo tentativo di attacco da parte di The Shadow Broker. Nonostante siano state rilasciate alcune patch dall’azienda di Redmond per sanare le vulnerabilità, migliaia di computer in tutto il mondo rimangono ancora privi di protezione. L’elemento di maggiore criticità, in termini di vulnerabilità, risiede maggiormente nella debolezza dei dispositivi informatici delle strutture pubbliche. Sono i computer dei dipendenti pubblici e delle istituzioni a rappresentare, il più delle volte, il bersaglio preferito degli hacker.
La mancanza di un controllo sullo stato di aggiornamento dei sistemi operativi e delle applicazioni utilizzate, la limitatezza degli investimenti in cyber security, la mancanza di piani formativi per il personale, la superficialità nella gestione dei dati, rappresentano il preferred environment degli hacker per la conduzione degli attacchi cibernetici. Secondo alcuni esperti e ricercatori di tre università americane, altre città sarebbero sotto il mirino di EternalBlue: San Antonio, Dallas, Los Angeles e New York potrebbero essere i prossimi obiettivi del malware.
Oltre ai danni riconducibili ai disservizi provocati dai possibili attacchi, i costi da sopportare per la risoluzione dei problemi causati potrebbero rivelarsi insostenibili per le amministrazioni locali. L’attacco a Allentown, a febbraio del 2018, ha prodotto l’interruzione per settimane di molteplici servizi ai cittadini ed è costato circa 1 milione di dollari per la riattivazione dei sistemi informatici colpiti e 420.000 dollari per l’aggiornamento delle piattaforme software.
