Si tende a dimenticare che non esiste la guerra in senso generale ma diverse tipologie di guerra, una delle quali è la guerra cibernetica. Nel giugno del 2017 la Russia sferra contro l’Ucraina un attacco informatico di grandissimo impatto che determina in tutto il mondo enormi danni. Linkos, azienda di Olesya Linnik che produce il software di contabilità MeDoc, viene investita da attacco devastante da parte della Russia. Ad agire è un virus che colpisce subito dopo aver aggiornato MeDoc. Stiamo parlando di NotPetya.
In Ucraina, le vittime si contano a centinaia: sette banche, l’aeroporto e la metropolitana di Kyiv, la compagnia ferroviaria nazionale, una decina di media, la posta, fornitori di elettricità e gas, tre operatori di telefonia mobile, un ospedale, una clinica, una catena di stazioni di servizio. I sensori automatici di radioattività di Chernobyl, a cento chilometri a nord di Kyiv, smettono di rispondere. In alcuni supermercati si formano lunghe code alle casse, su cui compare in lettere rosse una richiesta di riscatto.
Le stime dei danni che circolano sono vertiginose: un computer ucraino su dieci è inutilizzabile. L’attacco costa al Paese quasi mezzo punto di Pil, un totale probabilmente sottostimato. Alcune aziende impiegano mesi per riprendersi. Proprio per questo l’azienda ucraina ha fortuna: prende contatto con Talos, unità del colosso americano Cisco specializzata in sicurezza informatica. Gli esperti di Talos sono tra i primi a confermare che NotPetya ha iniziato la sua opera di distruzione attraverso il software MeDoc.
I danni di NotPetya vanno ben oltre i confini ucraini e si fanno sentire in tutto il mondo. Migliaia di consegne Fedex interrotte, il gigante del trasporto marittimo Maersk fermo, le fabbriche del colosso alimentare Mondelez paralizzate, le linee di produzione del laboratorio farmaceutico Merck bloccate. BNP Paribas paga un pesante tributo, che non è mai stato dettagliato pubblicamente. Alla sede di BNP Paribas, sulle rive della Senna a Issy-les-Moulineaux, sono prima i computer a riavviarsi da soli, per poi mostrare la richiesta di riscatto. In pochi secondi, il 95% dei più di 3mila computer dell’azienda che opera in 16 Paesi e gestisce 24 miliardi di investimenti diventa inutilizzabile. Un piccolo gruppo si raduna attorno ai responsabili informatici, impotenti. Privati delle e-mail, i migliaia di dipendenti sono costretti a tornare a carta e penna e comunicano tramite WhatsApp.
Intanto gli esperti, in Ucraina e in tutto il mondo, si impegnano in una gigantesca “caccia al tesoro” per capire come è stato concepito NotPetya, come si è diffuso e chi ne è l’autore. Ovunque, nei servizi di intelligence come nelle aziende specializzate, si ispeziona il programma maligno in tutti i suoi dettagli. Molto rapidamente, tutto indica che i pirati hanno compiuto l’impresa di inserire NotPetya nel cuore stesso del software di contabilità fiscale MeDoc. I pirati sono entrati inosservati nelle reti della Pmi, il paziente zero, per inserire una backdoor nel mezzo del codice del software di contabilità. Il camuffamento è perfetto e trasforma il software in un cavallo di Troia: aggiornandolo, i clienti di Linkos, senza saperlo, aprono ai pirati un accesso invisibile alle loro reti. È attraverso questa breccia che NotPetya si scatena.
La sua velocità di propagazione ha sorpreso la maggior parte degli osservatori. Presso Maersk, gigante mondiale del trasporto marittimo (76 porti e oltre 900 navi), NotPetya ha impiegato sette minuti per paralizzare 55mila macchine, ovvero più di 130 al secondo. Rapidamente, gli esperti comprendono il motivo: NotPetya è stato dotato dai suoi creatori di poteri di replicazione. Il virus non paralizza solo un computer, cerca attivamente di diffondersi.
Il contenuto del virus stesso colpisce gli esperti. A prima vista, ha l’apparenza di un ceppo conosciuto di ransomware, quei virus controllati da malviventi che paralizzano i computer e chiedono un riscatto. Infatti, è quello che fa: le vittime di NotPetya devono pagare 300 dollari in bitcoin. Disperate all’idea di perdere i loro preziosi dati, alcune persone pagano. Tuttavia, si accorgono rapidamente che i dati rimangono inaccessibili. Gli analisti arrivano presto a una conclusione inquietante: è tecnicamente impossibile ripristinare i dati crittografati da NotPetya. Contrariamente a quanto sembra, non è progettato per farlo. In alcuni casi, i computer non possono nemmeno essere riavviati.
Questa informazione è spiazzante: le menti dietro il programma malevolo, che sta invadendo migliaia di computer nel mondo, non sono interessate ai soldi. Vogliono distruggere. L’abilità degli autori di NotPetya e la loro mancanza di motivazioni fraudolente convincono gli esperti. Non si tratta di semplici pirati informatici, ma di militari o ufficiali di un servizio di intelligence di alto livello che hanno scelto la vittima perfetta – un software presente in decine di migliaia di aziende ucraine – ed eseguito perfettamente la loro operazione lanciando l’arma digitale più distruttiva mai vista.
Molto presto, esperti di sicurezza informatica accusano un gruppo di pirati vicino al Cremlino, già responsabile di blackout in Ucraina alcuni mesi prima. All’inizio del 2018, Stati Uniti e Regno Unito dichiarano ufficialmente la Russia responsabile. Nell’ottobre 2020, la giustizia americana identifica e incrimina Yuriy Andrienko, Sergey Detistov, Pavel Frolov e Petr Pliskin, tutti ufficiali dell’unità 74455 del GRU, il servizio di intelligence militare russo. È dai loro uffici, dietro le pareti di vetro di una torre alta al 22 di via Kirova a Khimki, nella periferia di Mosca, che NotPetya è stato concepito, lanciato e celebrato.
— — — —
Abbiamo bisogno del tuo contributo per continuare a fornirti una informazione di qualità e indipendente.
