Mentre prosegue la battaglia sul campo tra Russia e Ucraina, si allarga anche il terreno di scontro nel cyberspazio: ieri, infatti, è stato pubblicato un post sul blog ufficiale Microsoft con il quale i ricercatori del Threat Intelligence Center (MSTIC) condividono l’allarme per la scoperta di nuovo malware denominato FoxBlade. Gli specialisti di Microsoft, in concerto con il governo ucraino, l’Unione Europea, il governo degli Stati Uniti, la NATO e le Nazioni Unite hanno lavorato insieme per salvaguardare gli utenti in Ucraina e rilevare questa scoperta, poche ore prima dell’invasione fisica nei territori ucraini da parte della Russia il 24 febbraio scorso.
Nel post si sottolinea anche la differenza rispetto a precedenti storici di rilevanza strategica: nello specifico, Microsoft ha osservato la tecnica di attacco mirata, cambiata rispetto agli attacchi di NotPetya, generalizzati e massivi, del 2017.
Il pericolo, come spesso accade in queste situazioni sensibili, non è rivolto ai soli obiettivi ucraini (target principale), ma essendo il cyberspazio non delimitato da confini nazionali netti e ben distinti, è facile prevedere che attacchi di questo tipo, in un momento storico di così diffusa emergenza, possano colpire anche aziende ed enti italiani ed europei che mantengono relazioni commerciali e diplomatiche con l’estero.
Indice degli argomenti
Come funziona il malware FoxBlade
Microsoft Security Intelligence elenca due componenti denominati FoxBlade, entrambi elencati come “gravi” e pubblicati la scorsa settimana:
- FoxBlade.A, descritto come un trojan che potrebbe essere utilizzato per attacchi DDoS;
- FoxBlade.B che è un downloader, presumibilmente utilizzato per installare il componente A.
Il rischio è che oltre a lanciare attacchi DDoS, FoxBlade possa scaricare e installare anche altri programmi, inclusi malware di ogni genere, su sistemi infetti ed effettuare attacchi di persistenza.
Non sono stati diffusi dettagli tecnici sull’operatività di FoxBlade, ma la principale caratteristica, che ne accentua il rischio, lo sottolinea Nathan Einwechter, direttore della ricerca sulla sicurezza presso la società AI Vectra: “un’importante distinzione del malware FoxBlade è che è installato per consentire un attacco DDoS”. L’analista afferma, inoltre, che “qualsiasi individuo o organizzazione potrebbe essere un obiettivo da utilizzare per oscurare l’accesso a Internet in Ucraina o su altri obiettivi di interesse da parte della Russia”.
Le disposizioni emergenziali di Microsoft
Con l’occasione di questo intervento, Smith (presidente di Microsoft) ha affermato che, in conformità con una recente sentenza dell’UE, la piattaforma Microsoft Start (incluso MSN.com) non servirà più alcun contenuto per le emittenti RT e Sputnik sponsorizzate dallo stato russo: “stiamo rimuovendo le app di notizie RT dal nostro app store di Windows e declassando ulteriormente i risultati di ricerca di questi siti su Bing in modo che restituiscano collegamenti RT e Sputnik effettivamente solo quando un utente intende chiaramente navigare su quelle pagine”.
Alla fine, Microsoft ha rimosso tutti gli annunci RT e Sputnik dalla propria rete commerciale e non pubblicherà alcuna pubblicità dalla propria rete su questi siti. Secondo Smith, Microsoft sta collaborando agli sforzi di sostegno ai rifugiati con il Comitato internazionale della Croce Rossa (CICR) e varie agenzie delle Nazioni Unite.
