Una nuova campagna di spionaggio informatico avviata dal gruppo Nobelium ai danni di molte organizzazioni negli Stati Uniti sembra presagire una rinnovata belligeranza del Cremlino, che però nega il suo coinvolgimento
Il gruppo di cybercriminali russi, ritenuti responsabili dell’attacco a SolarWinds scoperto lo scorso dicembre, hanno colpito con una nuova offensiva informatica. L’evento è stato segnalato da Microsoft a poche settimane dall’incontro, previsto per il 16 giugno, tra il presidente statunitense Joe Biden e il presidente russo Vladimir Putin.
Nobelium, questo il nome del gruppo responsabile degli attacchi, questa volta ha preso di mira 150 organizzazioni sparse in 24 nazioni solamente nell’ultima settimana. I cybercriminali sono tornati a colpire dopo circa un anno dall’ipotetica data di inizio dell’attacco alla catena d’approvvigionamento di SolarWinds, società informatica statunitense produttrice di Orion il software utilizzato per gestire le reti da numerose agenzie private e governative degli stati uniti. Questa volta il bersaglio dei loro attacchi sono state delle organizzazioni coinvolte in attività di sviluppo internazionale, questioni umanitarie e diritti umani.
Modus operandi
L’arma selezionata dagli aggressori per effettuare questa nuova andata di attacchi è lo spearphishing: l’invio massivo di e-mail fraudolente con lo scopo di estorcere informazioni sensibili o di far scaricare alle vittime un malware.
I cybercriminali russi sono riusciti con una facilità imbarazzante a entrare nei sistemi di Costant Contact, una società di comunicazione che distribuisce email per conto dell’US Agency for International Development (Usaid). L’intrusione è stata possibile grazie alle informazioni di accesso al servizio di web tracking di Constant Contact recuperate proprio con la violazione di SolarWinds. A questo punto, dopo aver ottenuto l’accesso a un account del servizio e-mail marketing, i cyber-criminali di Nobelium hanno avviato la loro campagna di spearphishing inviando un messaggio con oggetto “Donald Trump ha reso pubbliche le nuove accuse di frode elettorale” a circa 3mila account di agenzie governative, società di consulenza, think tank e Ong.
Nella mail esca era contenuto un link tramite il quale i cybercriminali sono riusciti a installare un codice malevolo nel dispositivo della vittima compromettendolo, ottenendone l’accesso e spianando la strada a un possibile furto di dati sensibili e riservati.
Il presidente di Microsoft Brad Smith ha già descritto l’attacco come “il più grande e sofisticato che il mondo abbia mai visto”. Immediata la risposta del capo delle spie russe che ha negato ogni responsabilità e coinvolgimento ma si è detto “lusingato” dalle accuse mosse dagli Stati Uniti contro l’intelligence russa.
Il parere dell’esperto
Secondo John Hultquist, vicepresidente del settore Analysis, Mandiant Threat Intelligence della società di cybersicurezza FireEye, sebbene l’attività di SolarWinds “si sia distinta per la furtività e la disciplina, le operazioni di spearphishing di ampia portata rappresentavano un tempo il biglietto da visita degli operatori dell’Svr (l’agenzia russa che esegue attività di intelligence e spionaggio al di fuori della Federazione, ndr) che spesso effettuavano dirompenti campagne di phishing. Quelle operazioni erano spesso efficaci, ottenendo tra gli altri obiettivi, l’accesso ai principali uffici governativi. Sebbene le e-mail di spearphishing siano state identificate rapidamente, prevediamo che qualsiasi azione post-compromissione da parte di questi attori sarà altamente qualificata e furtiva”.
Il modus operandi quindi sembra essere lo stesso utilizzato in passato dall’Svr e, data la natura sfacciata di questo incidente, “non sembra che l’Svr sia disposto a limitare la propria attività di spionaggio informatico, per non parlare degli sforzi per nascondere nuove attività”, continua Hultquist . “Questo incidente ci ricorda che lo spionaggio informatico rimarrà parte delle nostre vite”.
Leggi anche