Come sappiamo l’attacco ransomware diffuso negli ultimi giorni e noto come Petya o NotPetya [le differenze con il Petya originale a livello di codice e intenti sono molte, per cui è più corretto NotPetya come l’ha battezzato Kaspersky, ma ormai è Petya il termine che è rimasto tra il pubblico. Adesso c’è anche chi lo chiama GoldenEye…] ha colpito principalmente l’Ucraina, ed è anche lì che si è originato.
Gli investigatori e i ricercatori di sicurezza hanno stabilito che il “ground zero” siano i server della società che sviluppa MeDoc, un software di contabilità molto diffuso da quelle parti. Gli hacker, dicono le ricerche, sono riusciti a intrufolarsi nei server degli sviluppatori e “contaminare” un aggiornamento software con il malware.
Non è in discussione che intrufolarsi nel sistema informatico di qualcun altro senza autorizzazione sia sbagliato, ma se anche tu lasci la porta spalancata proprio tutte le ragioni non le hai. Il problema è che, secondo quanto emerso nelle ultime ore, le misure di sicurezza di MeDoc sono effettivamente da barzelletta. L’attuale versione del server FTP ProFTPD ha una vulnerabilità arcinota tramite la quale, usando i comandi SITE CPFR e CPTO, qualsiasi client non autenticato può trasferire file da qualsiasi posizione. Anche un hacker alle prime armi avrebbe potuto sfruttarla.
Non è certo che sia questo l’effettivo sistema usato dagli hacker, ma una vulnerabilità così eclatante genera il ragionevolissimo dubbio che non sia l’unica. Dubbio confermato direttamente dalle autorità ucraine, che hanno indicato come la società sia spesso stata avvisata dello scarsissimo livello di sicurezza dei suoi sistemi proprio dalle società di antivirus. La voce è quella del colonnello Serhiy Demydiuk, dirigente dell’unità anti-cybercrimini ucraina, che promette pessimi sviluppi per MeDoc:
Su NotPetya sapevano, erano stati avvisati tante volte da svariate società antivirus. Per questa negligenza, le persone coinvolte affronteranno accuse penali.
L’estrema facilità con cui è possibile intrufolarsi nei sistemi di MeDoc potrebbe rimettere in gioco l’ipotesi del cybercriminale inesperto qualsiasi, ma l’opinione di esperti e autorità rimane quella di un attacco orchestrato da una nazione straniera. Anzi, i servizi di sicurezza ucraini (SBU) puntano esplicitamente il dito contro la Russia, dicendo che, basandosi sull’analisi dei dati ottenuti e sulle informazioni divulgate da ricercatori di sicurezza indipendenti, si tratterebbe degli stessi hacker che hanno causato un diffuso blackout nel corso dell’inverno. C’è però da osservare come il comunicato stampa non scenda troppo nel dettaglio su quali siano le prove a sostegno delle loro accuse; nel frattempo, la Russia non ha ancora rilasciato una dichiarazione ufficiale.