L’Ucraina resiste ai torrent di attacchi informatici russi
Di Daniele GrattieriGli attacchi wipers e phishing sono aumentati vertiginosamente nel 2022.
Gli hacker di Stato russi hanno colpito l’Ucraina nei primi quattro mesi del 2022 con più malware distruttivo di quanto i ricercatori di sicurezza di Google e Mandiant abbiano rilevato negli otto anni precedenti.
Gli attacchi erano tentativi di Mosca di minare la fiducia in Kiev e continuano a verificarsi, anche se a un ritmo più lento e con uno schema che sembra meno metodico, affermano i ricercatori del Threat Analysis Group di Google e di Mandiant – ora parte di Google – in un rapporto che esamina la dimensione cibernetica del tentativo della Russia di conquistare l’Ucraina.
Gli hacker russi hanno perso colpi?
Gli osservatori esterni della guerra hanno affermato che l’obiettivo delle operazioni informatiche della Russia in Ucraina si è spostato verso la raccolta di informazioni, una conclusione in qualche modo condivisa da Google e Mandiant. I ricercatori delle due unità di Google affermano di aver riscontrato un aumento degli incidenti informatici progettati per raggiungere molteplici obiettivi strategici, tra cui il furto e la cancellazione dei dati.
“Molte operazioni indicano un tentativo da parte della GRU di bilanciare le priorità concorrenti di accesso, raccolta e interruzione in ogni fase dell’attività”, si legge nel rapporto. GRU è l’acronimo russo dell’agenzia di spionaggio militare, il cui nome si traduce in Direzione principale dell’intelligence.
I nuovi wipers individuati in natura sono stati un segno distintivo della difesa informatica ucraina e il rapporto afferma che Mandiant ha osservato sei applicazioni distruttive precedentemente sconosciute, alcune delle quali con più varianti.
Nel complesso, l’ondata di attacchi informatici distruttivi non sembra essere stata efficace come i precedenti attacchi informatici russi. Nel 2015 e nel 2016, gli hacker russi hanno interrotto la rete elettrica dell’Ucraina, un’attività generalmente attribuita al gruppo di hacker della GRU noto come Sandworm.
Google rintraccia Sandworm come FrozenBarents
Il gruppo ha avuto i suoi successi, si legge nel rapporto. Ha preso di mira un produttore turco di droni inizialmente utilizzati dalle forze armate ucraine che sono improvvisamente scomparsi dopo che la Russia ha disattivato i veicoli aerei senza pilota, si legge nel rapporto.
Il phishing è un importante vettore di accesso iniziale. A differenza degli attacchi distruttivi o quelli volti a promuovere l’accesso a siti come casino NetBet on line e altri, che per lo più non sembrano avere effetti di ricaduta al di fuori dell’Ucraina, i tentativi di phishing russi sono aumentati in modo vertiginoso all’interno dell’Ucraina e dei confini dei Paesi della NATO.
Rispetto al 2020, si legge nel rapporto, i dati dello scorso anno mostrano un aumento del 250% delle e-mail di phishing rivolte agli utenti in Ucraina e un aumento di oltre il 300% nei Paesi della NATO. Il rapporto include attacchi di phishing effettuati da un gruppo che Google identifica come Pushcha, con sede in Bielorussia ma strettamente allineato con il Cremlino.
Una campagna di phishing condotta da un gruppo noto come ColdDriver, Seaborgium e TA446 ha preso di mira gli account di posta elettronica Proton di diverse personalità di spicco del Regno Unito; gli aggressori hanno poi diffuso informazioni nel tentativo di influenzare l’opinione pubblica. Un sito web ha pubblicato le e-mail trapelate di alcuni importanti sostenitori della Brexit e ha suggerito che essi stavano segretamente prendendo decisioni nel Regno Unito.
Attacco mirato agli ucraini
Dietro il balzo dell’attività c’è uno spostamento dell’attenzione degli hacker dell’intelligence militare russa verso l’Ucraina e un’intensificazione dei loro sforzi in quel Paese. Il rapporto afferma che un gruppo GRU relativamente nuovo, rintracciato come FrozenVista e identificato anche come UNC2589, sembra essere diventato attivo in Ucraina nella primavera del 2021. Quando la Russia ha iniziato ad ammassare truppe sul confine ucraino, ha inviato e-mail di phishing a quasi 2.000 obiettivi in Ucraina, per lo più persone del governo o dell’esercito. A gennaio, la Russia ha utilizzato dei wipers di dati contro le agenzie governative ucraine “in quello che potrebbe essere stato un attacco preliminare”, si legge nel rapporto.
Uno sviluppo notevole nella guerra di conquista della Russia è stato l’aumento dell’hacktivismo da entrambe le parti. La maggior parte delle attività autoproclamate a favore del Cremlino o di Kiev ha assunto la forma di attacchi distributed denial-of-service, anche se alcuni gruppi hanno fatto trapelare dati rubati. Mandiant valuta con “moderata fiducia” che una manciata di questi gruppi russi – XakNet Team, Infocentr e CyberArmyofRussia_Reborn – coordinano le operazioni con il gruppo di hacker governativi russi che Google identifica come FrozenLake. Il gruppo è noto anche come Fancy Bear, APT28 e Strontium.
Non ci sono prove dirette che il gruppo DDoS pro-Cremlino KillNet abbia legami con l’intelligence russa, si legge nel rapporto.
Commenta o partecipa alla discussione