Per una volta, forse, non è colpa dei russi. Ci sarebbe quasi certamente la Corea del Nord dietro a Wannacry, l'ormai famigerato worm veicolo dell'attacco ransomware che un mese fa ha infettato e crittografato centinaia di migliaia di computer nel mondo, attaccando aziende private, enti pubblici, ospedali, reti di trasporti e altri tipi di organizzazione e utenti. Settimane di indagini hanno portato la National Security Agency statunitense a parlare non più di “debole collegamento” fra l'operazione cybercriminale e la Corea del Nord ma di un'altissima probabilità.
Come svela il Washington Post, in un report circolato internamente all'Nsa e non destinata al pubblico si afferma una “moderata certezza” sull'origine di Wannacry: sarebbe opera del Reconnaissance General Bureau, cioè dell'agenzia di intelligence nordcoreana, direttamente rispondente al ministero della Difesa. La conclusione è frutto dell'analisi delle tattiche, delle techine d'attacco e dei target colpiti, ma soprattutto della scoperta di un traccia lasciata dal worm: un indirizzo IP che porta direttamente verso i computer del Reconnaissance General Bureau.
La sostanza dell'indagine dell'Nsa è anche coerente con le ipotesi già formulate nel mese di maggio da diverse società di sicurezza informatica, fra cui Symantec e Kaspersky Lab. I ricercatori, in particolare, aveva fatto notare le affinità di codice malware riscontrate in Wannacry rispetto a una precedente infezione circolata nel 2015 e opera del gruppo di hacker Lazarous Group. Su quest'ultimo mancano informazioni certe: attivo da almeno otto anni, è composto da un numero imprecisato di persone e su di lui grava da tempo il sospetto di un legame con il governo di Pyongyang.
Va però osservato come la finalità principe di Wannacry, almeno all'apparenza, non fosse lo spionaggio ma il guadagno illecito, dal momento che il malware crittografico richiedeva il pagamento di un riscatto in bitcoin (circa 300 dollari) a fronte della “liberazione” dei computer infetti. Per chi non fosse disposto a pagare, scattava la minaccia della cancellazione dei file entro sette giorni.