Ucraina, non solo DDoS: così inizia una guerra

Ucraina, non solo DDoS: così inizia una guerra

La guerra sta scoppiando e la cyberwar è già scoppiata: trovato nuovo malware distruttivo su centinaia di PC in Ucraina, Lettonia e Lituania.
Ucraina, non solo DDoS: così inizia una guerra
La guerra sta scoppiando e la cyberwar è già scoppiata: trovato nuovo malware distruttivo su centinaia di PC in Ucraina, Lettonia e Lituania.

All’interno dell’escalation che sta portando l’Ucraina a diventare terreno di scontro con la Russia, la cyberwar è inevitabilmente uno dei campi di battaglia. Lo è stato già in passato, in particolare in occasione dell’attacco in Crimea, ma lo è soprattutto in queste ore concitate che hanno portato alla dichiarazione notturna di Vladimir Putin circa quella che definisce una “operazione speciale” in Donbass. In queste ore iniziano a trapelare maggiori dettagli circa il tipo di attacco che la Russia (pur negando ovviamente ogni addebito) sta portando avanti.

Gli attacchi DDoS, in particolare, sembrano essere diffusi, ma comunque al di sotto dei livelli registrati già qualche settimana fa quando si tentava evidentemente di preparare il terreno all’avanzata odierna. Molti siti governativi ucraini sono stati affondati proprio nelle ore in cui il Governo si riuniva per dichiarare lo stato di emergenza e per convocare i cittadini arruolabili a presentarsi all’esercito. Un messaggio, più che altro, per ostacolare le operazioni in atto e destabilizzare il flusso di informazioni tra Governo e cittadinanza.

HermeticWiper: non solo DDoS

Ma nelle ore successive è emerso qualcosa di ben più raffinato della sola prova di forza dei DDoS:

Su centinaia di PC ucraini è stato trovato un nuovo malware, che i ricercatori ESET hanno battezzato come HermeticWiper: si tratterebbe di codice di nuova concezione, preparato da tempo e usato ora per creare danni ai sistemi sotto attacco. Si tratta infatti di un codice distruttivo, che sostituisce i file fermando i sistemi, per poi riavviare la macchina rendendola instabile e in molti casi non fruibile. Il malware sfrutta inoltre un certificato utile a farsi riconoscere come legittimo dal sistema, aggirando così blocchi preventivi, firmato dalla CHENGDU YIWO Tech Development Co. (gruppo a capo del software di data recovery EASUS). L’installazione del file Win32/KillDisk.NCV indica l’inizio delle attività del malware sul sistema.

Non un attacco finalizzato alla raccolta di dati, insomma, ma un vero e proprio bombardamento digitale avente il solo fine di fermare l’attività del sistema colpito. In gennaio l’Ucraina aveva già dovuto affrontare la minaccia del precedente WhisperGate, ma in questo caso il codice sarebbe più raffinato ed efficace. Il codice sarebbe stato riscontrato, oltre che in Ucraina, anche in Lettonia e Lituania (ulteriore campanello di allarme per un attacco che per molti versi è ricollegato a nuovi afflati di Unione Sovietica ispirati da Putin nel proprio discorso alla nazione). Nel mirino vi sarebbero enti finanziari e contractor in collaborazione con il Governo locale.

Poche ore dopo la scoperta del malware, Putin ha lanciato la propria offensiva. La cosiddetta “operazione speciale” è teoricamente descritta come una gita di peacekeeping in Donbass, ma le esplosioni della notte e gli attacchi informatici lasciano immaginare qualcosa di ben più grave. La parola torna alle diplomazie.

Fonte: Zero Day
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 24 feb 2022
Link copiato negli appunti