Il 13 gennaio 2022 l’Ucraina ha subito un massiccio attacco informatico diretto verso i siti web di alcune organizzazioni del paese, incluse le agenzie governative, tra cui i siti del ministero degli Esteri e dell’Istruzione, quello del Consiglio dei ministri e del Consiglio di sicurezza.
Sulle home page di questi ultimi è apparsa la scritta: “Ucraini! Tutti i vostri dati personali sono stati resi pubblici. Abbiate paura e aspettatevi il peggio! Questo è il vostro passato, il vostro presente e il vostro futuro”.
In merito a tale dichiarazione, il governo ucraino ha negato che vi sia stata una fuga di dati e una divulgazione pubblica di essi.
Riguardo a ciò, l’analista capo dell’azienda di cyber security Darkrace, Toby Lewis, ha inoltre espresso perplessità sulle ragioni dell’azione di defacement a danno dei siti web colpiti, chiedendosi per quale ragione venisse data tanta visibilità a tale azione dal momento che gli attaccanti avrebbero ottenuto, come da essi dichiarato, l’accesso ai dati personali dei cittadini ucraini. Lewis, infatti, ha evidenziato come spesso i cyber criminali utilizzino tecniche di attacco vistose e d’effetto con il reale obiettivo di distrarre l’attenzione degli esperti di sicurezza da attacchi più furtivi e di ben altro impatto.
Russia-Ucraina-Usa: così la cyber è ago della bilancia nei rapporti tra Stati
Indice degli argomenti
Cosa sappiamo del cyber attacco all’Ucraina
Con il termine defacing, termine inglese che significa letteralmente “deturpare, sfigurare, sfregiare”, nell’ambito della sicurezza informatica solitamente si fa riferimento a tutta una serie di attività che hanno l’obiettivo di modificare illecitamente la home page di un sito web, all’insaputa di chi lo gestisce, intervenendo anche su una o più pagine del sito ed eventualmente anche sui link in esse presenti.
Le motivazioni dietro a tali azioni possono essere di vario tipo: dalla semplice dimostrazione di abilità a motivazioni di tipo ideologico. Spesso, infatti, gli autori dell’azione ne rivendicano la paternità e le motivazioni con un “annuncio” nella home page del sito web compromesso.
Le tecniche utilizzate per accedere al sito e “riscriverne” le schermate, le pagine e i contenuti, sfruttano solitamente dei bug presenti nel software di gestione del sito oppure nei sistemi operativi sottostanti.
Il 15 gennaio il Microsoft Threat Intelligence Center (MSTIC) ha pubblicato una nota in cui analizza l’attacco, descrivendone lo svolgimento e fornendo una serie di informazioni utili a fronteggiare la situazione di emergenza per evitare che altre organizzazioni possano cadere vittime di attacchi simili in futuro.
Aspetto sicuramente interessante è che il MSTIC non ha al momento riscontrato particolari similitudini tra l’attacco che ha colpito l’Ucraina e altri attacchi precedentemente noti. Inoltre, non sarebbero stati riscontrati gli elementi tipici degli attacchi ransomware.
Il malware usato nell’attacco cyber all’Ucraina
Il malware con cui è stato effettuato l’attacco, secondo le prime ricostruzioni, è stato “mascherato” da ransomware ma, una volta attivato dall’attaccante, avrebbe avuto come effetto quello di rendere inutilizzabile il sistema informatico colpito.
Una volta infettati i sistemi, il malware ha sovrascritto il Master Boot Record (MBR) sui dispositivi delle vittime facendo contestualmente apparire una richiesta di riscatto. Il MBR, nello specifico, è quella parte del disco rigido di un computer, detta anche “settore di avvio principale”, che contiene la sequenza di comandi/istruzioni necessarie per l’avvio (boot) del sistema operativo. È quindi un elemento fondamentale dell’architettura software o della piattaforma operativa, poiché un suo malfunzionamento rende impossibile l’avvio del sistema.
Il malware si è diffuso tramite Stage2.exe, ossia un downloader per un codice malevolo che corrompe i file, ed è stato installato in varie directory per poi essere eseguito tramite lo strumento dell’Impacket. L’Impacket è una raccolta di classi Python per lavorare con i protocolli di rete e spesso viene utilizzato dai cyber criminali per diffondere facilmente codici malevoli tra più macchine collegate alla stessa rete.
Una volta entrato in funzione, il malware ha iniziato a corrompere i file danneggiandoli. I file colpiti dal malware sono stati sovrascritti e rinominati con estensioni casuali così da non permetterne il riconoscimento.
La richiesta di riscatto conteneva un riferimento a un portafoglio Bitcoin e un Tox ID (protocollo di messaggistica istantanea e videochiamata peer-to-peer con crittografia end-to-end) e riportava il testo seguente: “Your hard drive has been corrupted. In case you want to recover all hard drives of your organization, You should pay us $10k via bitcoin wallet 1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv and send message via Tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65 with your organization name. We will contact you to give further instructions”.
Gli elementi peculiari del cyber attacco all’Ucraina
Nell’analizzare l’attacco, il MSTIC ha riscontrato degli elementi peculiari. Nello specifico:
- il payload (componente di un virus informatico che esegue un’attività dannosa) ha prodotto i medesimi effetti per ogni soggetto/istituzione colpita. Solitamente gli attacchi malware producono effetti specifici in base alle peculiarità del soggetto attaccato;
- il malware, in questo caso, ha sovrascritto direttamente il MBR impedendo in questo modo il ripristino dei dati. Tale tattica non è comunemente riscontrata;
- gli importi dei pagamenti e gli indirizzi dei portafogli di criptovalute raramente sono specificati, poiché questo renderebbe più facile tracciare l’operazione di pagamento. In questo caso, invece, tali dati erano in chiaro;
- è raro che il metodo/canale per comunicare con gli attaccanti sia solo un Tox ID, come accaduto in questo caso. Esistono molteplici siti web, facilmente accessibili a chi opera sul dark web, che offrono differenti soluzioni per contattare un soggetto impedendo/rendendo più difficile il tracciamento della comunicazione;
- la maggior parte delle richieste di riscatto include un ID personalizzato per ogni destinatario dell’attacco. Tale ID deve essere utilizzato dalla vittima per comunicare con l’attaccante. In questo caso, era presente un unico ID.
Tutti questi elementi, secondo le analisi del MSTIC, rendono difficilmente inquadrabile l’attacco e renderà necessario proseguire nel monitoraggio della situazione per evitare che l’infezione si estenda ulteriormente e per individuare le contromisure idonee a ripristinare i servizi compromessi.
Secondo John Hultquist, vicepresidente della società di cyber security americana Mandiant, gli attacchi di defacement ai siti web del governo ucraino come quello dello scorso 13 gennaio avvengono spesso in concomitanza con l’accrescimento delle tensioni nella regione.
Pur non essendoci ancora elementi sufficienti per indicare con certezza i responsabili dell’attacco, è verosimile che quest’ultimo si inserisca nel contesto dell’inasprimento delle tensioni tra il governo ucraino e quello russo, il quale, come è noto, ha fatto ampio uso della guerra cibernetica contro l’Ucraina in più occasioni, a seguito dello scoppio delle ostilità tra i due paesi nella regione del Donbass.
