Author: Wired
Ancora notizie di cyberattacchi russi ai danni dei paesi della Nato e dell’Unione Europea. A segnalarlo, questa volta, è il servizio di controspionaggio militare polacco, in collaborazione con il CERT Polska, il team di risposta alle emergenze informatiche. Secondo quanto riferito, dietro l’attacco potrebbe nascondersi un gruppo identificato in passato come APT29 – denominato anche come Cozy Bear e Nobelium e sovvenzionato dal governo russo-, intenzionato a “raccogliere informazioni dai ministeri degli Esteri e dalle entità diplomatiche”. Come è prassi dei criminali, anche stavolta l’attacco ha preso di mira il personale diplomatico utilizzando lo spearphishing, ossia l’invio massivo di email con collegamenti a siti web malevoli o allegati progettati per distribuire malware tramite pagine html infette o file Iso, Img o Zip contenenti downloader.
A quanto pare, questi sono stati utilizzati per verificare se il sistema è stato effettivamente compromesso. Insomma, sfruttando una sorta di meccanismo a catena i cybercriminali sono riuscita a colpire l’obiettivo desiderato. D’altronde un meccanismo simile era stato già utilizzato dal gruppo nell’attacco alla catena d’approvvigionamento di SolarWinds, la società produttrice del software utilizzato da agenzie private e governative statunitensi, che aveva finito con il compromettere le organizzazioni impegnate in attività di sviluppo internazionali e diritti umanitari.
Inoltre, sembrerebbe proprio che dopo l’attacco a SolarWinds il gruppo di cybercriminali abbia continuato a violare le reti di alcune importanti organizzazioni utilizzando malware furtivi rimasti inosservati per anni – tra cui un malware tracciato come TrailBlazer e una variante della backdoor GoldMax Linux. E come se non bastasse, di recente Microsoft ha scoperto un nuovo malware utilizzato dai cybercriminali del gruppo APT29 per accedere nei sistemi Windows. Più nel dettaglio, anzi, la gang utilizzerebbe questa strategia per nascondere la propria presenza sulle reti dei propri obiettivi, in genere organizzazioni governative in Europa, Stati Uniti e Asia.
Allo stesso modo, i cybercriminali russi hanno preso di mira gli account Microsoft 365 nei paesi della Nato, con il solo obiettivo di accedere a informazioni top secret sulla politica estera. E poco più di un anno fa, nel maggio 2022, sono stati identificati come i diretti responsabili di una campagna di phishing che ha preso di mira diplomatici e agenzie governative, sempre legate ai paesi della Ue. Già allora il sistema utilizzato era quello che abbiamo ritrovato negli attacchi più recenti: l’invio massiccio di email, che risultavano provenire dall’indirizzo di un diplomatico, volte a diffondere malware sui dispositivi delle vittime. Insomma, il gruppo APT29 sembra essere piuttosto attivo nel settore già da un po’, soprattutto per quanto riguarda il vecchio continente.
