Era la Nord Corea la prima indiziata per la diffusione del ransomware che ha messo in ginocchio sistemi di mezzo mondo. E invece no
Facile, troppo facile prendersela sempre con gli stessi. Non che gli hacker governativi nordcoreani non ce la mettano tutta a farsi odiare dall’Occidente ma questa volta potrebbero non essere loro al centro della campagna che ha fatto impallidire i reparti IT di mezzo mondo. Pare infatti che dietro il lancio e la diffusione di WannaCry, ransomware che ha dapprima colpito gli ospedali inglesi e poi strutture a livello globale, vi siano smanettoni cinesi, secondo un’analisi effettuata da FlashPoint. Se qualche settimana fa Symantec e Kaspersky avevano cominciato a puntare il dito sui coreani, ora sembrano esservi elementi tali da far cambiare idea circa l’operato dell’attacco. Il primo è di carattere linguistico: il codice che accompagna WannaCry è stato scritto prima in cinese e poi tradotto in coreano e successivamente in inglese, un lavoro di conversione che non avrebbe avuto senso se nel team non vi fossero individui originari della Repubblica socialista.
Cosa succede
Il secondo riguarda lo stile, l’accuratezza e i riferimenti a virus del passato, che hanno fatto propendere l’analisi di FlashPoint verso la fonte asiatica: “Un numero di caratteristiche uniche nelle note ci indica che sono state scritte da una persona che parla un cinese fluente”. Non basta di certo questa sola considerazione ad affermare il non coinvolgimento della Nord Corea, anzi non sarebbe strano che Pyongyang abbia attuato una strategia precisa a sviare le indagini. Peraltro, se Symantec e Kaspersky hanno tirato in ballo il famoso Lazarus Gorup, legato al governo nordcoreano, un motivo ci sarà. C’è la possibilità che l’autore del ransomware, che ha preso in prestito l’exploit della NSA EternalBlue (sfociato poi nella modifica EternalRocks), sia effettivamente cinese ma al servizio del gruppo di hacker individuato dalle due agenzie di sicurezza. Una collaborazione forzata che ha sicuramente dato i suoi frutti.