L'azienda di Polis Trachonitis, Hermetica Digital Ltd, è stata implicata da ricercatori statunitensi in un cyberattacco di distruzione di dati che ha colpito centinaia di computer in Ucraina, Lituania e Lettonia.

Scoperto mercoledì sera poche ore prima che le truppe russe entrassero in Ucraina, il cyberattacco è stato ampiamente visto come la salva di apertura dell'invasione di Mosca.

Il malware era stato firmato utilizzando un certificato digitale con il nome di Hermetica Digital, secondo i ricercatori, alcuni dei quali hanno iniziato a chiamare il codice maligno "HermeticWiper" a causa della connessione.

Trachonitis ha detto a Reuters di non avere nulla a che fare con l'attacco. Ha detto di non aver mai cercato un certificato digitale e di non avere idea che ne fosse stato rilasciato uno alla sua azienda.

Ha detto che il suo ruolo nell'industria dei videogiochi è solo quello di scrivere il testo per i giochi che altri mettono insieme.

"Non scrivo nemmeno il codice - scrivo storie", ha detto, aggiungendo che non era a conoscenza della connessione tra la sua ditta e l'invasione russa finché non gli è stato detto da un reporter della Reuters giovedì mattina.

"Sono solo un ragazzo cipriota ... Non ho alcun legame con la Russia".

L'entità del danno causato dall'attacco malware non era chiara, ma la ditta di cybersicurezza ESET ha detto che il codice maligno era stato trovato installato su "centinaia di macchine".

I leader occidentali hanno avvertito per mesi che la Russia potrebbe condurre cyberattacchi distruttivi contro l'Ucraina prima di un'invasione.

La settimana scorsa la Gran Bretagna e gli Stati Uniti hanno detto che gli hacker militari russi erano dietro una serie di attacchi DDoS (Distributed Denial of Service) che hanno messo offline per un breve periodo i siti bancari e governativi ucraini.

CERTIFICATO DIGITALE

Le spie informatiche rubano abitualmente le identità di estranei a caso per affittare spazio sul server o registrare siti web malevoli.

Il certificato Hermetica Digital è stato emesso nell'aprile 2021, ma la marca temporale sul codice maligno stesso era il 28 dicembre 2021.

I ricercatori di ESET hanno detto in un post sul blog che queste date suggeriscono che "l'attacco potrebbe essere in corso da tempo".

Se, come è ampiamente ipotizzato dagli esperti di cybersicurezza e dai funzionari della difesa statunitense, gli attacchi sono stati effettuati dai russi, allora i timbri temporali sono punti di dati potenzialmente significativi per gli osservatori che sperano di capire quando il piano per l'invasione dell'Ucraina è stato messo insieme.

Il capo della ricerca sulle minacce di ESET, Jean-Ian Boutin, ha detto a Reuters che ci sono vari modi in cui un attore malintenzionato potrebbe ottenere fraudolentemente un certificato di firma del codice.

"Possono ovviamente ottenerlo da soli, ma possono anche comprarlo nel mercato nero", ha detto Boutin.

"Come tale, è possibile che l'operazione risalga a più tempo fa di quanto sapessimo, ma è anche possibile che l'attore maligno abbia acquisito questo certificato di firma del codice recentemente, solo per questa campagna".

Ben Read, direttore dell'analisi di spionaggio informatico di Mandiant, ha detto che è possibile che un gruppo possa "impersonare un'azienda nelle comunicazioni con un'azienda fornitrice di cert digitali e farsi rilasciare fraudolentemente un cert legittimo".

L'azienda di cybersicurezza Symantec ha detto che nell'attacco di mercoledì sono state prese di mira organizzazioni nei settori finanziario, della difesa, dell'aviazione e dei servizi informatici. DigiCert, l'azienda che ha emesso il certificato digitale, non ha risposto immediatamente ad una richiesta di commento.

Juan-Andres Guerrero-Saade, un ricercatore di cybersicurezza presso la ditta di sicurezza digitale SentinelOne, ha detto che lo scopo dell'attacco era chiaro: "Questo aveva lo scopo di danneggiare, disabilitare, segnalare e causare scompiglio".