Il Computer Emergency Response Team dell’Ucraina (CERT-UA) ha avvisato della presenza di attacchi informatici perpetrati da hacker di stato russo che mirano a vari enti governativi del paese.
APT28 e l’attacco all’Ucraina
L’agenzia ha attribuito la campagna di phishing al gruppo hacker APT28, conosciuta anche con i nomi Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, Sednit e Sofacy.
Va segnalato che non molto tempo fa APT28 (o chi per lui, o per loro) ha provato a far girare negli uffici del governo ucraino delle installazioni di Windows contraffatte.
Anche in questo caso c’entra Windows: il gruppo APT28 ha mandato sostanzialmente email che hanno come oggetto “Aggiornamento di Windows” e contengono presunti istruzioni in lingua ucraina per eseguire un comando PowerShell sotto pretesto di aggiornamenti di sicurezza.
L’esecuzione dello script carica ed esegue uno script PowerShell di secondo livello progettato per raccogliere informazioni di base del sistema tramite comandi come tasklist e systeminfo e inviare quindi i dettagli tramite una richiesta HTTP a un’API Mocky.
Per ingannare i bersagli a eseguire il comando, le email impersonano gli amministratori di sistema delle entità governative mirate utilizzando falsi account di posta elettronica Microsoft Outlook creati con i nomi e le iniziali reali dei dipendenti.
CERT-UA consiglia alle organizzazioni di limitare la capacità degli utenti di eseguire script PowerShell e di monitorare le connessioni di rete all’API Mocky.
La divulgazione arriva settimane dopo che APT28 è stato collegato ad attacchi che sfruttano falle di sicurezza in dispositivi di rete (ormai fortunatamente con vulnerabilità già corrette) per condurre ricognizioni e distribuire malware contro obiettivi ben selezionati.
Il Gruppo di analisi delle minacce di Google (TAG), in una nota pubblicata il mese scorso, ha descritto un’operazione di raccolta di credenziali condotta dall’attore della minaccia per reindirizzare i visitatori dei siti web del governo ucraino verso domini di phishing.
APT28, gruppo di hacker con sede in Russia sono stati anche collegati allo sfruttamento di una critica vulnerabilità di escalation dei privilegi in Microsoft Outlook (CVE-2023-23397, punteggio CVSS: 9.8) in intrusioni dirette contro il governo, i trasporti, l’energia e i settori militari in Europa.
Ulteriori sviluppi della faccenda arrivano quando Fortinet FortiGuard Labs ha scoperto un attacco di phishing a più fasi che sfrutta un documento Word con macro supposto proveniente da Energoatom dell’Ucraina come esca per fornire il framework di post-exploitation open source Havoc.
“È molto probabile che i servizi di intelligence, militari e di polizia russi abbiano un’antica comprensione tacita con attori minacciosi informatici,” ha detto la società di sicurezza informatica Recorded Future in un rapporto all’inizio di quest’anno.
“In alcuni casi, è quasi certo che questi enti mantengano una relazione stabilita e sistematica con attori minacciosi informatici, sia attraverso la collaborazione indiretta o tramite reclutamento.”
Tutto ciò non riguarda solo i governi: riguarda anche te
È importante prestare sempre molta attenzione alle email e alle comunicazioni online sospette, specialmente quando si tratta di enti governativi o di organizzazioni importanti.
Inoltre, è fondamentale adottare le misure di sicurezza consigliate dalle autorità competenti, come limitare l’abilità degli utenti di eseguire script PowerShell e monitorare le connessioni di rete.
La sicurezza informatica è un tema critico e sempre più rilevante, e dobbiamo fare la nostra parte per proteggere i nostri dati e le nostre attività online; purtroppo se sei del mestiere o un tantino “esperto” avrai certamente notato la facilità con la quale molte persone dicono “eh, a me non interessa”, quando fanno grande uso dello smartphone e di internet.
Purtroppo le cose piccole si riflettono anche in cose più grandi come appunto le sedi governative.
