L’epidemia di ransomware che la scorsa settimana ha attraversato il globo – chiamata Petya – potrebbe aver avuto inizio da un attacco straordinariamente semplice. Infatti, l’analista della sicurezza indipendente Jonathan Nichols ha scoperto una vulnerabilità allarmante nei server di aggiornamento della società di software ucraina MeDoc, una delle aziende al centro dell’attacco.
I ricercatori ritengono che molte delle infezioni iniziali di Petya siano state il risultato di un aggiornamento compromesso di MeDoc, che ha fatto dilagare il malware travestito da aggiornamento del software. Ma secondo la ricerca di Nichols, l’invio di tale aggiornamento potrebbe essere stato un compito fin troppo semplice, grazie ad una serie di criticità nella sicurezza dell’azienda stessa.
Scansionando l’infrastruttura aziendale, Nichols ha scoperto che i server dell’aggiornamento centrale di MeDoc stessero eseguendo un software FTP obsoleto, altamente vulnerabile e quindi facilmente sfruttabile da parte di software disponibili pubblicamente.
Si tratta di un problema di sicurezza decisamente serio che potrebbe aver permesso a chiunque di diffondere gli aggiornamenti del malware attraverso il sistema. Non è ancora chiaro se tale vulnerabilità sia stata utilizzata dagli hacker di Petya – o se fosse soltanto stata sfruttabile – ma la presenza di software obsoleti indicherebbe che potrebbero essersi verificate diverse condizioni per intaccare il sistema.
“È altamente probabile che qualcuno possa averlo saputo” ha detto Nichols, anche se ha riconosciuto di non aver cercato di testare le vulnerabilità scoperte per paura di commettere un crimine “Bisognerebbe hackare il server per essere sicuri al 100 %“.
Le autorità ucraine hanno già minacciato MeDoc con accuse penali per aver ignorato una tale vulnerabilità.
In un’intervista all’Associated Press, il capo della Cyberpolizia ucraina – Col. Serhiy Demydiuk – ha dichiarato che l’azienda fosse stata avvertita più volte sulle pratiche di sicurezza carenti, in primo luogo da imprese private. “Lo sapevano” ha detto Demydiuk all’Associated Press in un’intervista “Nel caso in cui questa negligenza venisse confermata, i responsabili della società dovranno affrontare una serie di responsabilità penali”.
Al momento è difficile stabilire se questa nuova rivelazione possa far luce sul gruppo che sta dietro l’attacco, ma nei giorni successivi all’attacco, un numero nutrito di società che si occupano di ricerca hanno collegato l’attacco alla Russia, e in una relazione dell’ESET si legge che l’attacco fosse collegato al gruppo Dark Energy che ha fatto saltare una centrale elettrica ucraina nel 2015.
Domenica, una società di ricerca collegata alla NATO ha ufficialmente attribuito Petya ad un attore di uno stato nazionale e ha sostenuto che l’attacco sia stato sufficiente per innescare una risposta da parte degli stati membri della NATO.