Dall’area cyber security della Microsoft arrivano nuove accuse di spionaggio digitale nei confronti della Russia. Nello specifico, il responsabile dei tentativi di furto di dati dal cloud è, secondo le accuse, lo SVR, il Servizio informazioni per l’estero di Mosca guidato da Sergej Naryshkin. Tale agenzia è stata già ritenuta responsabile dell’attacco a SolarWinds nel 2020 e di aver penetrato la rete del Democratic National Committee nel 2016. Tra i suoi obiettivi rientrerebbero enti governativi, aziende e think-tank.
Non stupisce che le spie facciano il loro mestiere, ma a preoccupare gli Stati Uniti è il fatto che non sia stato riscontrato un calo dell’attività, come ha detto al New York Times, John Hultquist, il vicepresidente della società di sicurezza informatica Mandiant (quella che ha scoperto l’attacco a SolarWinds).
Ad un rilevante numero di attacchi, però, stando agli esperti della Microsoft, non corrisponde un alto numero di successi, mentre si mantiene una forte riservatezza sulla natura delle informazioni trafugate ed è quindi difficile fare una valutazione dei danni. Più di 600 organizzazioni hanno subito circa 23.000 tentativi di attacco ai propri sistemi solo nell’ultimo periodo.
Lo SVR, noto per le sue operazioni cibernetiche a bassissima visibilità, avrebbe questa volta cercato un accesso sistematico ai cloud di Microsoft utilizzando metodi poco efficaci e più facilmente identificabili, assimilabili alla “forza bruta”: attacchi automatizzati con l’impiego di grossi database di password rubate.
Indice degli argomenti
Il cloud nel mirino degli attacchi
Un alto funzionario dell’Amministrazione ha definito questi ultimi attacchi come delle operazioni talmente poco sofisticate da poter essere evitate semplicemente implementando pratiche di sicurezza informatica di base nei cloud. Una responsabilità, questa, che secondo il funzionario deve ricadere sul settore privato.
Sebbene alcuni amministratori statunitensi abbiano incentivato l’utilizzo di software cloud anche per l’archiviazione di dati sensibili, la nuova serie di attacchi ha dimostrato che sono prima di tutto coloro i quali amministrano le operazioni in questi servizi ad utilizzare sistemi di sicurezza insufficienti.
Microsoft ha inoltre sottolineato che l’attacco si è concentrato sui rivenditori, nonché aziende che personalizzano l’utilizzo del cloud per propri scopi. In tal modo, gli attaccanti hanno avuto accesso ad un alto livello e numero di dati sensibili di enti governativi e del mondo della difesa.
Un tentativo di regolare la cyberwarfare
Queste accuse all’agenzia di intelligence russa sono in controtendenza rispetto ad alcuni timidi miglioramenti che sembravano essersi manifestati dopo l’incontro di Ginevra nel mese di giugno tra i Presidenti Biden e Putin. Stati Uniti e Russia hanno infatti creato un Gruppo bilaterale di Esperti per incentivare buoni scambi informativi sul tema della cyber criminalità, con una particolare attenzione alla diffusione di attacchi ransomware.
Tuttavia, il percorso verso la cooperazione sembra ancora pieno di ostacoli. Da una parte gli Stati Uniti ritengono responsabile la Russia di numerosi attacchi alle infrastrutture critiche statunitensi – come l’attacco alla Colonial Pipeline o a SolarWinds – dall’altra, Putin nega qualsiasi responsabilità del Cremlino, contestando le accuse.
Nel corso del summit, inoltre, il Presidente Biden ha fornito al Presidente russo una lista di 16 infrastrutture critiche che devono essere off limits rispetto a qualsiasi attacco. Si tratta di un modello simile alla convenzione di Ginevra che ha l’obiettivo di proteggere i soggetti che non partecipano o non partecipano più ad un conflitto. In sostanza, è un tentativo di regolare la cyberwarfare che ha più volte dimostrato quanto possano essere dannosi per la popolazione e per l’economia gli attacchi cibernetici.
Il presidente russo Putin si è ritenuto soddisfatto, puntualizzando che si è arrivati ad un accordo per avviare i negoziati tramite gruppi di esperti che hanno il compito di esaminare questa proposta. I funzionari statunitensi temono tuttavia che quella del Cremlino sia solo una strategia per allontanarsi da un impegno politico più proficuo.
Per contro, Russia e Cina non sono state invitate a prendere parte alla Counter-Ransomware Initiative – organizzata proprio dagli Stati Uniti il 13 e il 14 ottobre e che ha visto la partecipazione di altri 30 governi, lasciando intendere come il contrasto di Mosca alla criminalità informatica, a quella che utilizza ransomware in particolare, non sia ritenuto ancora sufficiente dalla Casa Bianca.
La cooperazione internazionale contro i ransomware parte senza Russia e Cina: quali scenari
Gli alert delle agenzie statunitensi
Nel mese di ottobre, infatti, le agenzie statunitensi CISA, NSA e FBI hanno emesso due alert congiunti per attacchi alle infrastrutture nazionali.
Il primo alert è un avviso nei confronti delle attività di un ransomware noto come BlackMatter, nome con il quale si identifica anche la gang criminale che lo utilizza. Nato di recente, probabilmente grazie a membri dei disciolti gruppi DarkSide, REvil e LockBit, come si evince dall’utilizzo degli stessi metodi crittografici, BlackMatter è specializzato in RaaS (Ransomware-as-a-Service).
Gli obiettivi sono sistemi Windows, Linux e ESXi, e la tecnica utilizzata è raffinata: utilizzando credenziali compromesse, il gruppo riesce a sfruttare il Lightweight Directory Access Protocol (LDAP) e il Server Message Block (SMB) per accedere alla Active Directory (AD) ed identificare tutti gli host sulla rete. Vengono infine cancellati o ri-formattati tutti i sistemi di backup, invece di criptarli.
Il colloquio Biden-Putin deve comunque aver sortito un qualche effetto, perché questo nuovo gruppo specifica sul suo sito, raggiungibile solo nel Dark Web, di non essere disponibile per attacchi a ospedali, infrastrutture critiche (raffinerie, oleodotti, impianti nucleari, centrali elettriche, impianti per il trattamento delle acque), industrie della difesa, organizzazioni non profit e agenzie governative.
Il gruppo DarkSide, infatti, era divenuto celebre proprio per gli attacchi con ransomware a Toshiba e, soprattutto, alla Colonial Pipeline (maggio 2021).
Attacco a Colonial Pipeline, il prima e dopo che stanno cambiando lo scenario del cyber crime
Il secondo alert, invece, segnala attacchi da parte di diversi attori, noti e non noti, a reti, sistemi e dispositivi IT e OT del servizio statunitense per la gestione dell’acqua potabile e delle acque reflue (US Water and Wastewater Systems – WWS), che mettono in pericolo l’approvvigionamento idrico delle comunità. Le tecniche utilizzate sono più tradizionali: lo spear phishing, l’utilizzo di sistemi obsoleti o non supportati, lo sfruttamento di dispositivi di controllo di sistema dotati di firmware vulnerabili.
Conclusioni
Le accuse degli specialisti Microsoft allo SVR riportano al centro dell’attenzione le operazioni di cyber spionaggio russo, malgrado il pacchetto di sanzioni comminato a Mosca in aprile dalla Presidenza Biden e l’invito alla de-escalation nel dominio cibernetico.
Dando però per scontato che le operazioni di spionaggio continuino ad essere perpetrate, gli addetti alla difesa e alla cyber security negli Stati Uniti chiedono agli operatori di seguire con attenzione le indicazioni delle aziende e delle agenzie di sicurezza, onde minimizzare le vulnerabilità e gli impatti derivanti da ipotetici attacchi.
Dopo una breve tregua, infatti, sono tornati ad aumentare gli attacchi ransomware più sofisticati, attribuiti a sigle nuove, le quali, però, sono probabilmente eredi di altri gruppi la cui attività sembrava in netto calo dopo l’incontro Biden-Putin di giugno. Tali attacchi sono caratterizzati, però, da alcune differenze nella scelta degli obiettivi, che escludono quelli nella lista presentata dal Presidente statunitense.
Nonostante alcuni passi in avanti, quindi, la via della collaborazione tra Stati Uniti e Russia per rendere il cyber spazio più sicuro sembra decisamente in salita.
