Il gruppo di cyber sicurezza di Google Mandiant ha di recente pubblicato un rapporto che ha evidenziato, sulla base di diverse prove, oltre al volume importante e alla varietà di criminali coinvolti nei cyber attacchi legati alla guerra russo-ucraina, mai registrati finora, un possibile coinvolgimento della Russia nel coordinamento degli hacker.
Indice degli argomenti
La Russia alla guida dei gruppi di hacktivisti
Lo studio di questo legame potrebbe risultare utile a comprendere le intenzioni della Russia sia all’interno che all’esterno dell’Ucraina, anche se funzionari statunitensi ed europei hanno avvertito che durante il conflitto gli hacker russi potrebbero colpire infrastrutture critiche e governi.
In alcuni casi osservati da Mandiant, l’attività di hacking è legata al GRU, l’agenzia di intelligence militare russa, e prevede l’installazione di un software “wiper” che danneggia la rete della vittima.
Inizialmente, il software wiper provoca la distruzione dei sistemi informatici, in seguito intervengono gli hacktivisti, pubblicando i dati rubati delle organizzazioni. Tre sarebbero i gruppi principali di hacktivisti filorussi in azione:
- XakNet Team
- Infoccentr
- CyberArmyofRussia_Reborn
Un rappresentante dell’ambasciata russa a Washington non ha risposto alle richieste di commento, ma la Russia ha negato di essere coinvolta in attività di hacking.
Secondo Michael S. Rogers, ex capo della National Security Agency e attualmente partner operativo della società di venture capital Team8 Labs Ltd: “Il governo russo sta cercando di generare più capacità. Questi gruppi sono attraenti perché danno loro una misura di negazione plausibile”.
Per la Russia questi hacktivisti sono un modo per far sentire una presenza online più minacciosa. Dall’altra parte, il vicepresidente dell’analisi di intelligence di Mandiant John Hultquist ritiene che questi gruppi criminali non vadano sottovalutati, in quanto ora che il gruppo XakNet si è affermato come gruppo hacktivista, potrebbe essere sfruttato per un’operazione informatica più seria diretta dall’intelligence russa.
Chi sono i gruppi di hacktivisti filo-russi
XakNet Team
È un canale Telegram in lingua russa di un gruppo autoproclamato di hacktivisti che ha minacciato l’Ucraina attraverso attacchi DDoS, compromissioni e fughe di dati e defacement di siti web.
A quanto dichiarato dal gruppo, si tratta di volontari russi patriottici che si sono uniti per contrastare Anonymous a seguito della sua dichiarazione di guerra contro la Russia e sono al momento impegnati in un’operazione di informazione tra le più importanti svolte durante il conflitto russo-ucraino, da quando, all’inizio di marzo, un falso messaggio di capitolazione dell’Ucraina alla Russia attribuito al presidente Zelenskyy è stato passato nel ticker delle notizie di una trasmissione televisiva ucraina in diretta.
Nel rapporto di Mandiant si legge che c’è una forte convinzione nel ritenere che XakNet abbia il supporto del gruppo APT28, a causa di una fuga di notizie del gruppo di un artefatto tecnico utilizzato proprio da APT28 durante la compromissione di una rete ucraina. L’unicità di questo artefatto ha rafforzato l’idea secondo cui i moderatori di XakNet siano parte dell’intelligence russa o collaborando con la GRU APT28 che conducono le operazioni in rete.
CyberArmyofRussia_Reborn
L’altro gruppo Telegram, seguito da Mandiant da aprile 2022, anche questo in coordinamento con APT28, si chiama CyberArmyofRussia_Reborn e mira alla diffamazione e ad attrarre l’attenzione dei media e l’influenza sulla politica.
I settori particolarmente colpiti da questo gruppo sono stati servizi di dati, amministrazioni locali e governi nazionali allo scopo di degradare o negare i servizi all’interno dell’organizzazione vittima attraverso attacchi DDoS o Denial-of-service (DoS).
Infoccentr
È il canale Telegram creato per operazioni di informazione pro-Russia e di lotta ai canali anti-Russia o pro-Ucraina, che agisce in coordinamento anch’esso con APT28 e che potrebbe avere legami anche con XakNet, dato che in almeno un’occasione i dati inizialmente trapelati sulla sua pagina Telegram sono stati poi ripubblicati da XakNet in pochissimo tempo.
La Russia non è una super potenza della cyber: ecco le prove
Il “rumore” di KillNet
La scorsa primavera era stato lanciato un allarme dal Dipartimento per la Sicurezza Nazionale sulla possibilità che i gruppi hacker XakNet e KillNet colpissero infrastrutture statunitensi, evidenziando anche l’aumento di attacchi cyber tra le conseguenze della guerra tra Russia e Ucraina.
Il gruppo di hacktivisti KillNet ha già portato a termine diversi attacchi ad obiettivi importanti, Giappone, Italia, Norvegia, Estonia e Lituania per citarne alcuni, sfruttando il DDos, Distributed Denial of Service, e, a quanto pare, ha agito insieme a XakNet.
Secondo Vlad Cuiujuclu, analista di Flashpoint, una società di cyberthreat-intelligence, il gruppo KillNet ha rilasciato diverse interviste ai media russi nell’ultimo periodo, aspetto che ha fatto dedurre un accrescimento del consenso popolare nei suoi confronti. Inoltre, la presenza sugli organi di stampa potrebbe rappresentare essa stessa l’obiettivo degli hacktivisti per fare rumore.
A luglio, Congress.gov, il fornitore ufficiale di informazioni sulla legislazione del Congresso, è stato messo offline per circa due ore da un attacco DDoS, senza, però, che la rete della Biblioteca e i dati venissero compromessi. Il mese successivo il gruppo hacktivista ha annunciato un attacco con Lockheed Martin Corp., l’appaltatore della difesa statunitense, e di aver scaricato documenti da Gorilla Circuits, un appaltatore dell’industria della difesa che produce circuiti stampati, anche se quest’ultimo aveva notificato un attacco cyber nell’autunno del 2021 e ha dichiarato recentemente di non aver registrato ulteriori incidenti.
Ciò che caratterizza gli attacchi sferrati da KillNet sta nell’essere “più fastidiosi che dirompenti”, come Jonas Skardinskas, direttore della gestione della sicurezza informatica presso l’agenzia informatica nazionale lituana, ha sottolineato in riferimento agli incidenti capitati ai siti web delle agenzie governative lituane, colpite da DDoS dallo scorso giugno. Si tratta di attacchi non mirati e che non provocano la paralisi della vittima, piuttosto hanno una durata maggiore del solito.
L’Estonia ha subito un’ondata di attacchi DDoS ad agosto, a seguito della rimozione degli ultimi monumenti dedicati alla guerra sovietica, rivendicati da KillNet, e secondo i funzionari della sicurezza estone sono stati i più estesi dall’attacco subito nel 2007, che in una settimana aveva colpito banche, siti web governativi e organi di stampa dopo la rimozione di una statua dell’era sovietica dalla capitale Tallinn. L’Estonia è riuscita a respingere l’attacco, ma il traffico di dati registrato è raggiunto un picco di oltre 200 gigabyte al secondo, quantità di molto superiore rispetto a un solito attacco DDoS.
KillNet, chi è la cyber gang vicina al Cremlino che sta attaccando l’Italia
Circostanze senza precedenti
Il monitoraggio di Mandiant è continuo e non si limita ai gruppi hacktivisti citati, dato che c’è la possibilità che il GRU o altri servizi segreti russi stiano lavorando con altri gruppi hacker contro l’Ucraina.
Come recita il rapporto: “L’invasione dell’Ucraina da parte della Russia nel febbraio 2022 ha creato circostanze senza precedenti per l’attività delle minacce informatiche. Si tratta probabilmente del primo caso in cui una grande potenza informatica ha potenzialmente condotto attacchi dirompenti, spionaggio e operazioni informatiche in concomitanza con operazioni militari cinetiche e diffuse in una guerra convenzionale […] lo spionaggio informatico e le operazioni di attacco russe, pur rappresentando già una seria minaccia per le organizzazioni ucraine, rappresentano un rischio elevato per l’Ucraina finché la Russia continuerà la sua invasione”.
