I tecnici del CERT (Computer Emergency Response Team) iraniano non hanno dubbi.
Il loro centro Maher – cui competono ricerche, studi e contromisure in materia di sicurezza informatica – ha identificato un “malware” di eccezionale pericolosità che geograficamente avrebbe preso di mira il territorio persiano.
Questa sorta di virus risulta di estrema semplicità progettuale e di sbalorditiva efficacia: secondo i risultati delle analisi preliminari il programma nocivo ha (e consegue) l’obiettivo di cancellare definitivamente file di ogni genere su differenti dischi agendo anche in tempi diversi.
L’operazione portata a termine da questo micidiale software non si traduce nella banale eliminazione di documenti e cartelle (risolvibile quindi altrettanto banalmente), ma consiste nel cosiddetto “wiping” ovvero nell’esecuzione di una serie di operazioni di sovrascrittura del disco ripetuta per un certo numero di volte, così da impedire qualsivoglia tentativo di recupero di quanto fatto sparire.
Non basta. Questo nuovo malware messo a paragone con le altre infezioni hi-tech, come direbbe Johnny Stecchino, “non ci somiglia per niente!”. La circostanza potrebbe sembrare di ridotto rilievo e, invece, incute negli esperti il timore che proprio questa originalità complichi il mestiere dei prodotti antivirus, che faticherebbero ad accorgersi della presenza indesiderata.
A minacciare i computer iraniani (ma solo quelli?) sono alcuni comandi o file “eseguibili” – ovvero piccole procedure venefiche come GrooveMonitor.exe, juboot.exe, jucheck.exe, sleep.exe – che sarebbero in grado di radere al suolo anche le partizioni dei dischi fissi.
Gli attacchi basati su “data-wiping malware” non sono nuovi per l’area mediorientale. Chi ha buona memoria ricorda il recente virus Shamoon e rammenta che in Arabia Saudita a farne le spese furono ben 30mila postazioni di lavoro del colosso petrolifero Aramco. In quel caso i codici maligni non si limitarono a distruggere dati e archivi, ma andarono a infettare e a modificare il record di avvio di quei pc rendendoli inutilizzabili perché impossibilitati a eseguire la “ripartenza” all’atto della riaccensione. Non contenti, gli hacker – che hanno virtualmente aggredito Aramco – hanno colto l’occasione per saccheggiare informazioni industriali e commerciali appetibili per una vasta platea di curiosi disposti a pagare qualunque cifra per ottenere certe informazioni.
La preoccupazione è rapida a diffondersi perché la diffusione dei più tenaci virus informatici ha carattere globale e non ci sono “quarantene” idonee a tener alla larga una simile minaccia.
Ma noi dobbiamo stare tranquilli. Dalle nostre parti simili allerta non arriveranno mai.
Tale silenzio non sarà dovuto ad una sorta di fatale immunità dal pericolo, ma solo al fatto che in Italia un CERT “vero” non esiste.
umberto@rapetto.it