Le modalità dell'attacco
Come accennato, il cyber attack era mirato e indirizzato in particolare contro istituti finanziari e network televisivi. L'operatività degli stessi è stata compromessa a causa di un malware che cancella i dischi rigidi dei computer infetti facendoli riavviare e rendendoli inutilizzabili.
I team di ricerca e analisi facenti capo alle società specializzate in sicurezza si sono tutti messi al lavoro per identificare gli elementi utilizzati per l'attacco. In particolare, il Symantec Security Response ha rivelato che è stato impiegato un malware di tipo Trojan.Jokra, questo tenta anche di eseguire le stesse azioni di cancellazione su ciascuna unità collegata o associata al computer infetto.
Un attacco analogo, noto come Shamoon, aveva colpito alcune aziende mediorientali nell'agosto 2012, rendendo inutilizzabili i pc. Il malware viene dapprima scaricato sul pc da infettare. Per questo, parte dell'attacco è consistito nel defacement del sito Web di un provider coreano. Da SophosLabs informano che l'exploit utilizzato sfruttava un codice maligno vecchio di due anni, ma aggiornato per l'occasione.
Il malware ha sovrascritto l'MBR con stringhe di testo (Fonte: McAfee)
Buona parte delle infezioni, però, sono state compiute con una delle tecniche più in voga del momento, cioè un messaggio di spear phishing. Cioè un messaggio ben studiato e plausibile, camuffato in questo caso per apparire come il rendiconto mensile di una carta di credito, che aumenta la percentuale di aperture e click su un'Url maligna. Lo ha rilevato il sistema d'ispezione e sandboxing della soluzione Deep Discovery prodotta da Trend Micro.
L'operazione non è stata immediata, infatti non sono state rilevate campagne di spamming o phishing. Una volta installato, il malware ha annidato una componente a 'tempo', programmata per compiere l'azione di cancellazione il 20 marzo alle 14 ora di Seul.
Alle 6 ora italiana, 30mila pc si sono spenti, poiché il software maligno ha sovrascritto il Master Boot Record (MBR) con stringhe di testo (PRINCPES - PR!NCPES - HASTATI) che hanno reso più file irrecuperabili e danneggiato l'MBR stesso, anche a seguito del reboot del sistema.
Quest'ultima operazione ha permesso di cancellare molte tracce dell'attacco, rendendo difficile risalire all'origine, come ammettono gli esperti di Fortinet, specialista della network security, i quali, al momento in cui scriviamo, stanno ancora indagando.