Ventisette righe di codice.Questo hanno in comune ufficialmente WannaCry e Lazarus Group, il famigerato gruppo hacker ritenuto responsabile nel febbraio di quest’anno di aver colpito circa 300mila computer in 150 Paesi del mondo.
Un’operazione non propriamente chirurgica quindi che ha colpito nazioni anche non apertamente ostili alla Corea del Nord. Eppure, il governo degli Stati Uniti non sembra avere dubbi e ha indicato nel regime di Kim Jong-un il mandante dell’attacco e in Lazarus Group il braccio operativo che si sarebbe reso responsabile dell’operazione. In realtà, se ascoltiamo gli esperti di sicurezza, sapere chi ha fatto cosa è uno degli aspetti più complicati di questa nuova era della cybersecurity. Peraltro lo stesso dipartimento della Difesa degli Stati Uniti finora non ha mostrato nuovi elementi di prova sia sull’origine di WannaCry sia per collegare Lazarus alla Corea del Nord.
Il rapporto pubblico più completo che abbiamo sugli hacker di Lazarus lo dobbiamo al produttore russo di anti-virus Kaspersky. Come hanno scritto a maggio in un’indagine durata più di un anno,gli hacker di Lazarus sono i criminali considerati responsabili del furto di 81 milioni di dollari alla Central Bank of Bangladesh.Ricostruiamo quanto accaduto. A febbraio 2016, un gruppo di hacker (all’epoca non identificato) ha provato a rubare 851 milioni di dollari ed è riuscito a trasferirne 81 milioni dalla Central Bank of Bangladesh. Questa è considerata la più grande cyber-rapina di sempre. Secondo le analisi, degli esperti russi si sarebbero connessi da un indirizzo IP in Corea del Nord.
Tuttavia, come si legge nel rapporto potrebbe anche trattarsi di un’operazione false flag attentamente progettata da qualcun altro. Qualcuno in Corea del Nord potrebbe aver accidentalmente visitato l’URL di comando e controllo. Una seconda verifica sarebbe arrivata dall’analisi del codice di WannaCry. Simile (in 27 righe) a quello utilizzato sempre da Lazarus per colpire nel 2014 Sony Pictures rea per aver prodotto il film The Interview, in cui veniva preso per i fondelli il dittatore coreano. Quest’ultima “prova” sembra la più credibile o quantomeno quella che trova i maggiori consensi tra gli esperti. A trovare somiglianze tra una prima versione di WannaCry e il codice utilizzato nel 2015 ci sono anche Symantec e altri ricercatori indipendenti, aziende come Google.Tuttavia, se le similitudini nel codice sono consistenti,è ancora presto per affermare con certezza che il ransomware sia legato alla Corea del Nord. Per esempio non si può escludere che il codice di Lazarus sia stato riciclato da un’altra organizzazione di hacker, o che sia stato inserito volutamente per confondere chi sta indagando sull’origine del virus informatico
