Questo non è il cinema, è la vita. E così la spy story di un film si trasforma in una spy story dai contorni quanto mai reali. Protagonista la Sony Pictures Entertainment, divisione cinematografica del colosso giapponese con sede a Culver City, California, che ha subito il più distruttivo attacco hacker mai sferrato contro un’azienda su suolo americano. I responsabili potrebbero essere dei cybercriminali al servizio del governo nordcoreano, furioso per la pellicola prodotta dalla Sony (e in uscita a Natale) “The Interview”, storia di due giornalisti che, su istruzione della Cia, tentano di assassinare il leader nordcoreano Kim Jong-Un grazie a un’intervista concordata.
L’ATTACCO DEI “GUARDIANS OF PEACE”
Il cyberattacco ha completamente paralizzato i sistemi informatici della Sony Pictures. I dipendenti sono rimasti bloccati e sono tornati a lavorare con carta e penna, addirittura rimettendo in funzione un dimenticato fax. Ancora oggi il sistema It degli studios di proprietà giapponese non ha ripreso a funzionare pienamente. Una portavoce della Sony Pictures ha indicato che sono stati ripristinati “alcuni servizi importanti” e che la Sony sta “lavorando a stretto contatto con le autorità di polizia per indagare sull’accaduto”.
L’incidente è cominciato con l’apparizione di una foto di un teschio sugli schermi dei computer degli utenti aziendali. L’immagine era accompagnata da un messaggio che informava che la Sony Pictures era vittima di un attacco hacker da parte di #GOP, sigla che si ritiene indichi il gruppo “Guardians of Peace”; il messaggio includeva la minaccia di rivelare dati privati se non fossero state soddisfatte le richieste del gruppo. Poi i computer sono andati fuori uso. #GOP non ha fornito altri dettagli; ha solo indicato di essere in possesso di “segreti” e minacciato di diffonderli sul web.
A qualche giorno di distanza dall’attacco, è chiaro ciò che è stato sottratto alla Sony e messo in rete: cinque film, di cui quattro non ancora usciti in sala; oltre al recente “Fury,” film di guerra con Brad Pitt, sono stati rubati “Annie”, “Still Alice”, “Mr. Turner” e “To Write Love on Her Arms,” che non sono stati rilasciati ma sono apparsi su siti di file-sharing, come riportano anche TorrentFreak e la società di tracking Excipio; “Fury” sarebbe già il secondo film più piratato del web – nonostante sia ancora in sala.
L’INTERVISTA CHE SCATENA LE IRE DELLA COREA DEL NORD
La Sony Pictures ha ovviamente subito reagito. Collaborando con l’Fbi e il dipartimento di Homeland Security, che indagano sull’accaduto, ma anche muovendosi autonomamente. Mentre l’Fbi resta cauta e non individua per ora responsabili, Sony ha meno dubbi: l’ipotesi su cui starebbe indagando è che gli autori del devastante cyberattacco siano hacker al servizio della Nord Corea, che agiscono da qualche parte della Cina. La scelta del giorno dell’attacco è infatti rivelatrice: esattamente un mese prima del rilascio del film “The Interview”. I media di Stato della Nord Corea avevano già espresso le loro proteste e minacciato “vendetta” contro gli Usa e altri Paesi se il film fosse arrivato nelle sale, e il governo di Pyongyang aveva denunciato il film come “una evidente sponsorizzazione del terrorismo e un atto di guerra” in una lettera al segretario generale delle Nazioni Unite Ban Ki-moon inviata a giugno.
Il film ha come protagonisti Seth Rogen e James Franco nel ruolo di due famosi giornalisti che riescono a ottenere un’intervista col leader nordcoreano Kim Jong-Un, interpretato dall’attore Randall Park. La Cia li arruola per assassinare Kim.
IN ALLERTA TUTTE LE AZIENDE USA
L’attacco che ha colpito la Sony è il primo di dimensioni imponenti e con carattere distruttivo perpetrato contro un’azienda in territorio americano. Attacchi di queste dimensioni infatti sono stati registrati in Asia e Medio Oriente, ma mai negli Stati Uniti. “Penso che i cyberattacchi coordinati con effetti distruttivi nei confronti delle grandi corporation negli Usa rappresentino un evento spartiacque”, commenta Tom Kellermann, chief cybersecurity officer di Trend Micro. “La geopolitica ora serve come vessillo dei cyberattacchi distruttivi”.
La reazione dell’Fbi non si è fatta attendere. Il Bureau ha mandato alle grandi aziende americane un documento confidenziale di cinque pagine (visionato indipendentemente dall’agenzia di stampa Reuters) in cui le allerta sul fatto che ci sono in azione hacker che usano un malware per sferrare cyberattacchi massicci negli Usa. Il report descrive dettagliatamente il software maligno usato, spiegando che prende controllo di tutti i dati sugli hard drive dei computer e che il ripristino è complesso e costoso, se non impossibile.
Sony infatti ha assunto l’azienda FireEye e il suo team di incident response Mandiant specializzato proprio nel ripulire i sistemi da malware e ripristinare il funzionamento dell’It dopo incidenti di grande portata, una decisione che proverebbe la gravità dei danni subiti.
Secondo gli esperti di sicurezza, il report dell’Fbi è un prodotto diretto dell’attacco alla Sony Pictures. Il documento non cita l’azienda giapponese, ma il malware descritto è quello che ha colpito gli studios di Culver City.
Gli hacker hanno già usato malware simili per sferrare attacchi altamente distruttivi ad aziende in Corea del Sud e Medio Oriente, compreso quello contro la società petrolifera Saudi Aramco che ha mandato in tilt circa 30.000 computer.
L’Fbi scrive che gli autori del malware e degli attacchi sono “sconosciuti”; parte del software usato dagli hacker è stato compilato in coreano, ammettono i tecnici degli agenti federali, ma non viene confermata la connessione con la Corea del Nord.
LA COREA DEL NORD NELLA GUERRA CIBERNETICA
Da parte sua la Corea del Nord non ha negato il suo coinvolgimento nel cyberattacco alla Sony Pictures. La Bbc ha contattato un diplomatico nordcoreano e ne ha ottenuto una criptica risposta: “Le forze ostili collegano tutto alla Corea del Nord. Io consiglio di aspettare e vedere”.
Secondo il Wall Street Journal, l’attacco è simile a un altro sferrato contro la Corea del Sud, il “Dark Seoul”, che ha mandato fuori uso a marzo 2013 i sistemi informatici di Tv e banche sudcoreane. Il governo di Seul ha pubblicamente accusato dell’incidente il Reconnaissance General Bureau, l’intelligence nordcoreana.
“La Corea del Nord ha la capacità di organizzare questo genere di attacchi informatici”, ha commentato James Lewis, esperto di cybersecurity del Center for Strategic and International Studies. Tuttavia secondo Lewis l’attacco contro la Sony, se è davvero opera della Corea del Nord, è di dimensioni tali che è “al limite delle sue capacità”. Infatti, il malware che ha colpito i sistemi It sudcoreani nel 2013 è stato definito “non sofisticato” dagli esperti di sicurezza della società Sophos che lo hanno portato alla luce. E anche il Guardian ha avanzato qualche dubbio sul fatto che la Corea del Nord sia responsabile dell’attacco alla Sony, perché le caratteristiche dell’attacco non sarebbero coerenti con precedenti azioni degli hacker nordcoreani. Per esempio, è la prima volta che viene pubblicato il messaggio di minacce con richiesta di soddisfare le domande del gruppo di hacker; è anche la prima volta che i responsabili si identificano come #GOP.
IL RUOLO DELLA COREA DEL NORD
Ciò non toglie che nella cyberguerra in corso la Corea del Nord abbia un ruolo: il Paese sta facendo grandi sforzi per sviluppare il proprio arsenale informatico e le capacità digitali, si legge in un recente studio di Hewlett-Packard, “Profiling an enigma: The mystery of North Korea’s cyber threat landscape”. Il report di HP indica anche che molti degli attacchi riconducibili alla Corea del Nord non partono dall’interno del regime, ma da Paesi terzi. Non a caso la Sony Pictures indaga su hacker di matrice nordcoreana ma che agiscono dalla Cina.
