Potrebbe esserci la Corea del Nord dietro l'attacco ransomware WannaCry, almeno a detta degli esperti di Kaspersky Lab. Mentre l'operazione cybercriminale, ieri, continuava a fare danni in Cina, la società di sicurezza evidenziava in un blog post una somiglianza sospetta: parte del codice utilizzato a febbraio di quest'anno da WannaCry (poi ricomparso, con qualche variante, nell'attacco che nei giorni scorsi ha infettato circa 300mila macchine, secondo le ultime stime) era già presente in un'operazione del febbraio 2015 del gruppo hacker Lazarus Group. Un gruppo di non definita grandezza, attivo fin dal 2009 e forse legato al governo di Pyongyang.
L'orgine della scoperta è merito di un ricercatore di Google, Neal Mehta. Anche gli esperti di Symantec hanno individuato somiglianze sospette fra l'attacco di due anni fa e quello attuale, senza però sbilanciarsi in una attribuzione di responsabilità. Symantec ha parlato, infatti, di “deboli collegamenti” con il gruppo cybercrminale nordcoreano, mentre Kaspersky ha detto di “credere fermamente” che dietro l'attacco di febbraio 2017 e quello del 2015 ci sia a stessa mano o comunque persone che hanno potuto accedere al medesimo frammento di software.
Poiché il frammento di codice riferibile a Lazarous Group è scomparso nelle ultime varianti di WannaCry, è anche possibile che si sia trattato di un depistaggio o di un semplice “riciclaggio” di materia prima. Qualche collegamento con ambienti governativi era comunque già stato ipotizzato nei giorni scorsi, osservando come le vulnerabilità prese di mira dall'attacco fossero già note alla National Security Agency statunitense. Non sono mancate polemiche, ma anzi il presidente e chief legal office di Microsoft, Brad Smith, ha usato parole esplicite contro le istituzioni governative, colpevoli di custodire per sé il segreto di alcune vulnerabilità utilizzabili per creare backdoor e operazioni di spionaggio. Una volta finite nelle mani sbagliate, il loro impatto è potenzialmente distruttivo.
Brad Smith, president and chief legal officer di Microsoft
Come dimostrato dall'operazione WannaCry, “il fatto che i governi facciano scorta di queste vulnerabilità rappresenta un problema”, scrive Smith. “Abbiamo visto come vulnerabilità note alla Cia siano poi comparse su WikiLeaks e ora questa che, sottratta alla Nsa, ha colpito utenti in tutto il mondo. Parlando di armi convenzionali, è come se le forze militari statunitensi subissero il furto di un missile Tomahawk”. Alla luce del primo attacco di WannaCry di febbraio, Microsoft aveva già riparato le falle di sicurezza di Windows, nelle versioni attualmente supportate, mentre nei giorni scorsi ha rilasciato le analoghe patch per Windows Xp.