Ci sarebbe il gruppo hacker filorusso Sandworm dietro il massiccio attacco informatico che ha violato i sistemi tecnologici del colosso delle telecomunicazioni ucraino Kyivstar almeno dal maggio dello scorso anno e che, a partire dal 12 dicembre 2023 e per diversi giorni, ha interrotto i servizi forniti a circa 24 milioni di utenti ucraini, con ripercussioni anche sull’accesso a Internet.
È quanto rivelato da Illia Vitiuk, capo del dipartimento di cyber security del Servizio di Sicurezza dell’Ucraina (SBU), secondo cui l’attacco ha causato una distruzione “disastrosa” e mirava a infliggere un duro colpo psicologico e raccogliere informazioni.
L’attacco, uno dei più drammatici da quando la Russia ha invaso l’Ucraina quasi due anni fa, dovrebbe suonare come un “grande avvertimento” per l’Occidente, ha dichiarato a Reuters il capo della cyber intelligence ucraina: “Questo attacco è un grande messaggio non solo per l’Ucraina, ma per tutto il mondo occidentale: nessuno è realmente intoccabile”.
“Le rivelazioni fatte da Illia Vitiuk evidenziano, qualora ve ne fosse bisogno, le enormi capacità dei gruppi APT russi come Sandworm”, ci dice Pierluigi Paganini, analista di cyber security e CEO Cybhorus.
“Come correttamente evidenzia Vitiuk”, prosegue Paganini, “l’attacco deve essere da monito per tutto l’occidente. Gli hacker russi hanno colpito un’infrastruttura critica ucraina nel corso del conflitto e sono riusciti ad eludere le difese dispiegate per mesi”.
Secondo il nostro analista, “il capo dell’SBU ha sottolineato questo aspetto enfatizzando l’attenzione alla sicurezza dell’azienda colpita, non minore della maggior parte delle organizzazioni occidentali”.
Il principale operatore mobile ucraino colpito da un grave attacco informatico: quali implicazioni
Indice degli argomenti
Attacco a Kyivstar, sono stati i filorussi di Sandworm
La conferma che dietro l’attacco al principale operatore di telecomunicazioni ucraino ci siano i filorussi di Sandworm arriva anche da Adam Meyers, Head of Counter Adversary Operations di CrowdStrike, secondo cui le tecniche impiegate nell’attacco contro Kyivstar siano probabilmente attribuibili alla cyber gang Voodoo Bear (come è anche conosciuto il gruppo Sandworm), che opera sotto la persona dell’hacktivista pro-russo Soltnsepek.
Meyers sottolinea, inoltre, che “le segnalazioni riguardanti la distruzione dell’infrastruttura virtuale di Kyivstar coincidono con segnalazioni di malfunzionamenti delle sirene di allarme aerea a Kiev, nonché di interruzioni di terminali di pagamento e di molteplici banche, e di problemi segnalati con il pagamento dei trasporti pubblici”.
Altri dettagli sull’attacco arrivano oggi direttamente dal capo della cyber intelligence ucraina, Vitiuk, che ha sottolineato il fatto che Kyivstar sia una ricca azienda privata che investe molto nella cyber security. Eppure, gli attaccanti sono riusciti a cancellare “quasi tutto”, compresi migliaia di server virtuali e PC.
Probabilmente, dunque, l’incidente di sicurezza che ha coinvolto la telco ucraina Kyivstar potrebbe essere il primo esempio di un attacco informatico distruttivo che “ha completamente distrutto il nucleo di un operatore di telecomunicazioni”.
Secondo quanto riportato da Vitiuk, durante le indagini dell’SBU è emerso che i criminal hacker avevano probabilmente tentato di penetrare in Kyivstar già a marzo dello scorso anno o forse anche prima. “Per ora, possiamo dire con certezza che erano nel sistema almeno dal maggio 2023″, ha affermato il capo della cyber intelligence ucraina, secondo cui non è possibile al momento dire da quando i filorussi avessero pieno accesso all’infrastruttura della telco: probabilmente almeno da novembre 2023.
Alla luce del livello di accesso ottenuto, i criminal hacker avrebbero quindi potuto rubare informazioni personali, registrare la posizione dei telefoni di tutti gli utenti coinvolti nell’attacco e intercettare messaggi SMS.
Da parte sua, il colosso delle telecomunicazioni ucraino Kyivstar ha dichiarato che l’azienda sta lavorando a stretto contatto con l’SBU per indagare sull’incidente di sicurezza e prenderà tutte le misure necessarie per eliminare i rischi futuri, aggiungendo.
La buona notizia è che, al momento, non sembrerebbero esserci indizi su possibili fughe di dati personali e degli abbonati ai servizi offerti da Kyivstar. Le indagini, però, sono ancora in corso e avrebbero rilevato altri tentativi mirati a infliggere ulteriori danni all’operatore telefonico. La situazione, dunque, potrebbe avere ulteriori evoluzioni.
Gli impatti dell’attacco alla telco ucraina Kyivstar
Ricordiamo che Kyivstar è il più grande tra i tre principali operatori di telecomunicazioni dell’Ucraina e offre servizi a circa 1,1 milioni di ucraini che vivono in piccole città e villaggi dove non ci sono altri fornitori.
La prima conseguenza del massiccio attacco all’operatore telefonico è stata che la gente si è precipitata ad acquistare altre SIM card, creando lunghe code e disservizi in tutto il paese. Così come anche gli sportelli automatici che utilizzavano le SIM card di Kyivstar per internet hanno smesso di funzionare.
Ma la conseguenza forse più grave per l’incolumità di tutti i cittadini ucraini è stata che, subito dopo l’attacco, la sirena d’allarme aereo utilizzata durante gli attacchi russi con missili e droni ha smesso di funzionare correttamente in alcune regioni. Sembrerebbe, però, che l’attacco non abbia avuto grandi impatti sulle attività militari dell’esercito ucraino che, per ovvi motivi di sicurezza, non si affida agli operatori di telecomunicazioni facendo uso di algoritmi e protocolli di comunicazione differenti.
Purtroppo, al momento non è possibile ricavare altri utili dettagli tecnici sull’attacco a Kyivstar a causa della cancellazione dell’infrastruttura di Kyivstar. Tra gli investigatori si sta comunque facendo strada l’ipotesi che l’attacco sia stato facilitato dalle somiglianze tecniche e tecnologiche con l’operatore mobile russo Beeline, costruito con un’infrastruttura simile.
Le indagini stanno inoltre cercando di chiarire come Kyivstar sia stato penetrato o quale tipo di malware trojan possa essere stato utilizzato per violare l’infrastruttura del colosso delle telecomunicazioni.
Il punto di ingresso potrebbe essere stato un’e-mail di phishing oppure un insider che, dall’interno della stessa organizzazione, ha aperto le porte agli attaccanti.
Cosa impariamo
Alla luce di quanto accaduto, Pierluigi Paganini ci ricorda che nessuna rete è inviolabile e le modalità dell’attacco alla società di telecomunicazioni ucraina lo dimostrano.
Secondo l’analista, “la capacità evasiva espressa è stata estremamente efficace e ha consentito una permanenza degli attaccanti nella infrastruttura dell’azienda Kyivstar per mesi. Anche l’azione distruttiva è stata estremamente efficiente e nulla han potuto le misure disposte a difesa dei sistemi colpiti”.
Paganini ci ricorda, quindi, la necessità di “lavorare costantemente alla definizione di nuovi modelli e tecnologie di difese per far fronte a minacce di crescente complessità, come quelle apportate da attori nation-state”.
Adam Meyer di CrowdStrike, invece, mette in guardia sul fatto che “dall’inizio del conflitto, gli operatori informatici russi hanno condotto operazioni di intrusione per spionaggio e operazioni informative e hanno realizzato scopi distruttivi contro obiettivi ucraini”.
Secondo l’esperto di CrowdStrike, “una motivazione generale dell’avversario è contribuire a operazioni psicologiche che mirano a danneggiare, delegittimare o influenzare altrimenti la fiducia pubblica nelle istituzioni statali e nei settori come governo, energia, trasporti e media”.
“L’Ucraina rimane il laboratorio del conflitto informatico poiché vari gruppi pro-Russia continuano a sfruttare operazioni informatiche e psicologiche, disinformazione e misinformation per dimostrare l’impatto della guerra fisica e digitale”, conclude Mayers.
