Le aziende in Italia sono vittime di attacchi hacker a tempo. Prima la compagnia è stata colpita da un’aggressione programmata nel 2010. Poi, Saipem con una (probabilmente) destinata ad attivarsi nel 2017, ma avvenuta solo nei giorni scorsi, con una nuova versione del malware Shamoon

Le aziende in Italia continuano a subire attacchi hacker “a tempo”. Prima Yoroi-Cybaze Zlab ha scoperto che una realtà del settore navale nel nostro paese è stata presa di mira da una cyber aggressione pianificata nel 2010, ma attivata solo nel 2018 (con il malware MartyMcFly). Poi, nei giorni scorsi Saipem ne ha subita una simile. Forse, però, al contrario. Sembra infatti (ma non ci sono conferme ufficiali) che l’arma usata per colpire il colosso energetico potrebbe essere una nuova variante del malware Shamoon (alias DistTrack). Lo hanno scoperto gli esperti di cyber security di Chronicle, che hanno rilevato il suo upload su VirusTotal dal nostro paese questa settimana. Ciò anche se il codice malevolo era stato settato per detonare in precedenza (il 7 dicembre 2017).

Le ipotesi degli esperti di cyber security di Chronicle su perché Shamoon possa essere stata l’arma negli attacchi cibernetici contro Saipem e sulla sua esplosione “retrodatata”

Secondo gli esperti di cyber security, i motivi della data retroattiva potrebbero essere due. O che gli hacker malevoli volessero colpire immediatamente appena dopo aver caricato Shamoon su VirusTotal. Oppure che abbiano compilato il malware in preparazione per un successivo cyber attacco. Saipem per ora non fornisce dettagli sull’aggressione cibernetica subita, se non che sta raccogliendo dettagli su quanto accaduto e che ha avvisato le autorità competenti. Chronicle, però, ritiene che la responsabilità potrebbe essere del codice malevolo. “Anche se non possiamo collegare direttamente la nuova variante di Shamoon con un attacco attivo – si legge in una nota dell’azienda – la tempistica del malware si avvicina alla notizia di un cyber attacco contro una compagnia energetica italiana con assets in Medio Oriente”.

La nuova variante del malware è anonima

Peraltro, la versione di Shamoon usata per lanciare i cyber attacchi contro Saipem è anomala. Innanzitutto la lista dei server di comando e controllo (C2) è “bianca”. Ciò, secondo Chronicle potrebbe significare che gli hacker malevoli potrebbero aver installato manualmente il malware. Inoltre, in passato questo sostituiva tutti i files con immagini dal significato politico. L’ultima versione di DistTrack, invece, li codifica in maniera irreversibile. Infine, mancano anche le credenziali pre-programmate.

Il codice malevolo è stato rilevato per la prima volta nel 2012 e da allora ha colpito bersagli in Medio oriente, soprattutto in ambito energetico

Shamoon, come riporta Security Affairs, è stato rilevato per la prima volta nel 2012 quando infettò oltre 30.000 sistemi della saudita Aramco e di altre compagnie petrolifere in Medio oriente. Quattro anni dopo apparve la sua seconda versione. Questa fu coinvolta negli attacchi cibernetici contro varie organizzazioni nella Regione, inclusa la General Authority of Civil Aviation (GACA) di Riad. Una ulteriore variante, infine, è stata scoperta dai ricercatori di cyber security di Palo Alto Networks a gennaio del 2017. Il loro elemento in comune è, oltre alla cancellazione degli hard disk delle vittime e al rendere i sistemi inutilizzabili, quella di sfruttare il Windows Server Message Block (SMB) per diffondersi all’interno dei network.

L’analisi di Chronicle, riportata da Axios, sulla nuova variante del malware

L’articolo di Security Affairs sul codice malevolo