Il cyber-attacco distruttivo che ha buttato giù i server di banche e televisione sudcoreane in questi giorni sarebbe un’operazione dall’origine incerta ma di matrice probabilmente cinese, capace di prendere di mira sia i sistemi Windows che quelli con installato Linux.
Le società di sicurezza stanno analizzando il codice impiegato nell’operazione, e dai primi dettagli emergono le caratteristiche di un malware progettato per “spegnere” i software antivirus popolari in Corea del Sud, sovrascrivere il Master Boot Record del disco fisso e anche “svuotare” una installazione Linux rendendo il sistema altrettanto incapacitato a svolgere il suo lavoro.
Jokra – il nome scelto da Symantec per classificare la nuova minaccia – è riuscito a penetrare sui PC sudcoreani a partire da un sito web locale infetto (“Korean Software Property Right Council”) sfruttando una vulnerabilità di Internet Explorer già nota e corretta mesi addietro.
I primi rapporti sull’esistenza del malware erano stati accompagnati dall’accusa di coinvolgimento diretto rivolta alle autorità della Corea del Nord, ma l’attacco risulterebbe ora essere partito da un indirizzo IP cinese . Non si tratta certo di una dimostrazione conclusiva delle reali responsabilità nell’accaduto, dicono i sudcoreani, ma almeno ora la Corea del Nord è solo uno dei possibili sospettati.
Che l’attacco sia in qualche modo connesso alla riottosa e problematica nazione isolazionista sopra il 38esimo parallelo sarebbe in ogni modo confermato da una successiva intrusione ai danni del Committee for Human Rights in North Korea , organizzazione con base a Washington che si occupa appunto dei diritti umani in Corea del Nord: i server del gruppo sono stati attaccati , i dati cancellati e poi ripristinati – con l’aiuto della società di hosting – a breve distanza dal cyber-attacco ai danni della Corea del Sud.
Alfonso Maruccia