Attacchi dalla Russia a colpi di phishing: tra i target anche la NATO

di Silvia Cegalin

Qualche giorno fa il CERT-UA, Computer Emergency Response Team of Ukraine, ha comunicato che nuovi tentativi di phishing si erano registrati verso organizzazioni ucraine e agenzie governative dell’Unione Europea. Attraverso allegati denominati “Criminali di guerra della Federazione Russa” e “Criminali di guerra che distruggono l’Ucraina” gli hacker puntavano ad attirare l’attenzione dei loro destinatari per poi, una volta aperto il file, infettare il sistema informatico tramite un malware con funzionalità di spionaggio

Dietro queste azioni malevole si cela uno tra i gruppi hacker russi più potenti: Armageddon (Gamaredon), affiliato all’FSB e che, soltanto nel 2021, ha hackerato almeno 1.500 siti ucraini. Questo, tuttavia, non è un caso isolato, ma uno dei tanti in cui il phishing è stato usato dai russi contro l’Ucraina e i suoi alleati.

NATO, militari e Ong statunitensi nel mirino degli hacker russi

Un altro recente attacco è stato individuato dal Threat Analysis Group di Google, che ha rivelato tentativi di phishing diretti alle reti NATO, a Ong statunitensi e a un esercito di un paese dei Balcani, oltre che campagne phishing mirate verso un centro di eccellenza della NATO e a siti militari di alcuni paesi dell’Europa orientale. I fatti risalgono a Marzo e le minacce provengono da Coldriver (aka Callisto) noto gruppo hacker con sede in Russia.

È curioso notare che gli hacker per infettare non hanno inviato malware distruttivi di tipo wiper, frequentemente utilizzati dalla Russia in questo conflitto, ma hanno optato per il phishing cercando di rubare le credenziali, creando account Gmail destinate a profili non riconducibili a Google, un metodo che da eccezione si è trasformato poi in prassi.

Se a molti il nome di Coldriver suona sconosciuto, questa gang di hacker è invece attiva dal 2015 ed è specializzata in operazioni spear phishing, ossia attacchi direzionati a una determinata fondazione o persona. Tra i loro target risultano esserci militari, governanti e giornalisti; non a caso il team di F-Secure Labs nel loro report Callisto Group del 2017 li definì soggetti interessati alla «raccolta di informazioni relative alla politica estera e alla sicurezza in Europa».

La loro comparsa dunque in questa cyberwar non deve lasciare indifferenti, anzi tutt’altro.

Attacchi phishing dalla Russia verso i cittadini dissidenti

La Russia non si limita ad essere la principale attaccante delle infrastrutture informatiche dell’Ucraina e dei paesi a lei alleati, ma si rivela anche essere una minaccia per i cittadini russi stessi, soprattutto di coloro che sono considerati dissidenti e oppositori politici.

A ciascuno il suo, si potrebbe dire, perché mentre per colpire gli enti occidentali, si pensi alla NATO, la Russia si è affidata a un’entità del calibro di Coldriver, per infettare i propri dissidenti ha preferito fare uso di Cobalt Strike, uno tra gli strumenti preferiti dai gruppi APT e dalle spie informatiche.

Sebbene la tattica attuata fosse la medesima: il phishing, questa volta, tuttavia, se veniva aperto l’allegato infetto (un RTF), esso rilasciava un beacon Cobalt Strike, permettendo così attività di controllo da remoto. Cadere in questa trappola non era difficile, le mail infatti sembravano provenire da mittenti credibili, tra cui enti statali e ministeri russi

Il ruolo degli altri regimi autoritari e il ritorno di UNC1151

Gli hacker russi non sono gli unici che stanno sfruttando la guerra in Ucraina per diffondere minacce online, assieme a loro compaiono anche organizzazioni appoggiate dai governi di Cina, Iran, Corea del Nord e, ovviamente, Bielorussia.

Ed è proprio da quest’ultima nazione che proviene Ghostwriter (aka UNC1151), fautore in passato di una propaganda filo-russa atta a divulgare fake news e che, all’interno di questo conflitto, non è passata inosservata. L’unità bielorussa ha infatti utilizzato campagne phishing ma in una forma diversa, in quanto ha elaborato una tecnica chiamata Browser in the Browser (BitB), ovvero la simulazione di una finestra del browser all’interno del browser originale e che per caricarsi chiede di inserire i propri dati.

Da questi episodi appare evidente che in questa cyberwar anche le forme più semplici di attacchi online possono acquistare una funzione determinante e rivelarsi pericolose.