Un
complicato intrico internazionale si cela dietro a un campione di
malware con una parte di codice dell'NSA, in uso a un gruppo criminale sponsorizzato dalla Cina. Secondo una nuova ricerca di ESET, uno strumento per l'offuscamento del codice sarebbe stato usato da Winnti Group, il gruppo di cyber criminali che si sospetta abbia legami con il governo cinese.
È attivo dal 2012 ed è sospettato di intrusioni ai danni dell'industria software, nonché la compromissione di vari obiettivi nei settori della sanità e dell'istruzione. Ha anche la paternità di due attacchi contro le università di Hong Kong nel periodo delle proteste civili.
Quello che risulta strano è che lo strumento di offuscamento di cui sopra sarebbe stato utilizzato insieme a un impianto che in precedenza era stato attribuito a Equation Group, un gruppo che si pensa abbia legami con la National Security Agency statunitense.
Non è chiaro se il campione sia stato utilizzato in una campagna malevola o se sia un esperimento di un ricercatore per la sicurezza. Quello che è noto è che il packer è stato utilizzato da Winnti in una serie di intrusioni documentate. ESET ha pubblicato i risultati della ricerca auspicando che altri ricercatori con maggiore visibilità sulle origini del campione possano chiarire l'enigma.
Le ipotesi per identificare chi c'è dietro al campione abbondano. È possibile che Winnti abbia usato l'impianto dell'NSA per le sue operazioni. Secondo il ricercatore di Eset Marc-Étienne Léveillé, quest'ultima potrebbe essere un'opzione probabile.
L'anello di congiunzione fra i due attori sarebbe Shadow Brokers, un gruppo di hacking misterioso di cui aveva dato notizia Kaspersky a fine 2019. Era salito alla ribalta delle cronache perché aveva divulgato pubblicamente alcuni strumenti di hacking dell'NSA. Non è chiaro se gli strumenti in questione fossero stati rubati all'NSA o recuperati sul web seguendo le azioni dell'agenzia. Fra questi, uno script potrebbe essere quello usato da Winnti Group.
Secondo quanto dichiarato da Léveillé alla stampa statunitense, è possibile che il Gruppo Winnti abbia semplicemente riciclato gli strumenti divulgati da Shadow Brokers. Ipotesi meno probabile è invece che Equation Group abbia riciclato il packer del Gruppo Winnti.
Il dilemma non è di facile soluzione perché attribuire la paternità di attacchi condotti usando strumenti "di riciclo" è sempre molto complesso. È non è da escludere che il loro impiego sia in realtà un diversivo per confondere i ricercatori sulla sicurezza.
Léveillé reputa che questo sia l'esempio perfetto per far comprendere la difficoltà di esaminare campioni di malware fuori contesto. Il tentativo dev'essere fatto, perché risalire alla fonte del codice è un passaggio importante per identificare qualsiasi minaccia lo usi e i rapporti fra i gruppi criminali. Non resta che attendere ulteriori sviluppi.