Il Threat Analysis Group (TAG) di Google ha pubblicato un aggiornamento sull’attività di campagne phishing e malware che sta monitorando in merito alla guerra in Ucraina dal quale emerge che le infrastrutture informatiche NATO e di alcune forze militari appartenenti a paesi dell’Europa dell’Est sono finite nel mirino di gang cyber riconducibili non solo alla Russia.
“Dal nostro ultimo aggiornamento, TAG ha osservato un numero sempre crescente di attori di minacce che utilizzano la guerra come esca nelle campagne di phishing e malware. Gli attori sostenuti dal governo provenienti da Cina, Iran, Corea del Nord e Russia, così come vari gruppi non attribuiti, hanno utilizzato vari temi legati alla guerra in Ucraina”, scrive il ricercatore del TAG Billy Leonard, precisando che starebbero sfruttando questa situazione anche attori criminali e finanziariamente motivati.
Tale evidenza sarebbe confermata dalle molteplici false campagne di beneficenza condotte per estorcere denaro impersonando istituzioni militari, statali e private e dagli attacchi ransomware ancora presenti.
Il TAG ha continuato il suo comunicato stilando una lista delle campagne osservate nelle ultime due settimane.
Guerra ibrida, come prepararsi al peggio: i consigli per migliorare la postura di difesa cibernetica
Indice degli argomenti
Le ultime campagne phishing rilevate dal TAG
Tre sarebbero le campagne malevole monitorate riguardanti in un modo o nell’altro temi relativi all’invasione russa dell’Ucraina.
L’attore di minacce bielorusso noto come Ghostwriter (UNC1151 o TA445), lo stesso gruppo probabilmente responsabile della campagna soprannominata da Proofpoint Asylum Ambuscade, starebbe sfruttando nelle proprie campagne di phishing a tema la tecnica browser-in-the-browser (BitB), recentemente divulgata dal ricercatore infosec mr.d0x.
Tale tecnica, simulando una finestra del browser all’interno del browser, consentirebbe di architettare convincenti campagne di ingegneria sociale.
Nella fattispecie, attraverso il metodo BitB è stata creata una pagina di accesso che sembra essere un dominio legittimo del portale “passport.i.ua”. In realtà, una volta che un utente fornisce le credenziali nella falsa finestra di dialogo, queste vengono inviate a un dominio presidiato dagli attaccanti.
Oltre alle campagne BitB attribuite all’attore Gostwriter vengono menzionati anche:
- il gruppo noto come Curious Gorge, che il TAG avrebbe attribuito alla Forza di supporto strategico dell’Esercito popolare cinese di liberazione (PLASSF), responsabile di avere diretto attacchi contro organizzazioni governative e militari in Ucraina, Russia, Kazakistan e Mongolia;
- il gruppo noto come COLDRIVER (Calisto) con sede in Russia. Il TAG ha affermato che quest’ultimo attore avrebbe organizzato campagne di phishing contro diverse ONG e think tank con sede negli Stati Uniti, l’esercito di un paese dei Balcani e un appaltatore della difesa ucraino.
Altre gang che stanno sfruttando il tema guerra
Tra gli altri gruppi che utilizzano la guerra come esca in campagne di phishing e malware per ingannare i target con e-mail o collegamenti fraudolenti, figurano anche:
- Mustang Panda, un APT con sede in Cina collegata a una campagna di spionaggio informatico in corso utilizzando una variante del RAT PlugX;
- Scarab, un attore di minacce di lingua cinese collegato alla backdoor HeaderTip usata in una campagna contro l’Ucraina da inizio conflitto;
- Carbon Spider (FIN7), un altro gruppo di attività potenzialmente correlato a un attore di minacce russo che ha impiegato una backdoor basata su PowerShell in grado di recuperare ed eseguire un eseguibile di seconda fase;
In conclusione
Il rapporto TAG come detto è un aggiornamento in merito ad attività dannose che dall’inizio di marzo hanno visto gang statali russe, cinesi e bielorusse compromettere organizzazioni ucraine ed europee.
Purtroppo è un dato di fatto: la guerra tra Russia e Ucraina non si sta combattendo soltanto nel mondo reale, ma anche in quello spazio cyber, che la stessa NATO nel 2016 ha definito come quinto dominio di guerra dopo aria, terra, mare e spazio. L’escalation degli attacchi informatici continua inesorabilmente anche con potenze di fuoco DDoS e molteplici campagne malware distruttive.
HermeticWiper attacca l’Ucraina, allarme anche in Italia: come difendersi
Non è per niente un caso che lo CSIRT Italia per questo contesto abbia pubblicato un bollettino di sicurezza esortando più volte a innalzare le difese per l’attuale emergenza internazionale, i cui impatti in ambito informatico potrebbero essere molto elevati anche per la sicurezza del nostro paese.
Poiché oggettivamente è molto difficile in questo momento storico attribuire un attacco informatico al cyber crime o al cyberwarefare, il team del TAG ci tiene a precisare che “continuerà ad agire, identificare i malintenzionati e condividere le informazioni rilevanti con altri nel settore e nei governi, con l’obiettivo di sensibilizzare su questi problemi, proteggere gli utenti e prevenire attacchi futuri” e conclude “continuiamo a essere altrettanto vigili in relazione ad altri attori di minacce a livello globale, per garantire che non traggano vantaggio da questa situazione”.
