Come per molte notizie del conflitto tra Ucraina e Russia, in questi mesi c’è stata una corsa alla rappresentazione distorta e propagandistica anche della guerra cibernetica come già segnalato in precedenza. Tutti in favore di Anonymous e del finto partigianesimo delle sue azioni, ma poche analisi concrete ed obiettive forse perchè il sostenere l’efficacia ed il rischio elevato degli attacchi sovietici avrebbe messo molti giornalisti nella lista dei filoputin.

Noi che non siamo filo, ma siamo giornalisti, raccontiamo quello che vediamo e possiamo anche sbagliare.

Dopo le diverse testimonianze internazionali che hanno dato riscontro alle analisi di Matrice Digitale, si riporta sguardo più profondo ai gruppi di hacking e malware che attaccano l’Ucraina secondo quanto dichiarato dal principale team di risposta agli incidenti di cybersicurezza del Paese attualmente in guerra, che ha rilasciato una lista dei cinque gruppi più persistenti e delle famiglie di malware che attaccano le infrastrutture critiche dall’inizio del contenzioso bellico.

Nulla da togliere ad Anonymous, che ha rubato diversi TB di dati ed ha anche manipolato qualche palinsesto tv, ma il solo enfatizzare queste azioni dopo anni di esperienze avute con i militari russi, rende la dimensione dell’incapacità o addirittura della malafede di una narrazione distorta ed ideologicamente pilotata.

Secondo il Computer Emergency Response Team dell’Ucraina (CERT-UA), il paese ha registrato 802 attacchi informatici da quando la Russia ha invaso il paese all’inizio di quest’anno.

Questo già basta per comprendere quanto l’informazione italiana sia stata drogata da pseudo partigiani dell’informazione e timorosi, se non strumentalmente imprecisi, giornalisti che o non sapevano realmente cosa stava accadendo o dovevano portare avanti la stessa narrazione politica dell’Occidente forte.

Questo rispetto ai soli 362 attacchi documentati durante lo stesso periodo dello scorso anno, ha detto CERT-UA. Ecco i gruppi e il malware dietro alcuni dei maggiori attacchi:

Armageddon/Garmaredon

Un attore di minacce noto per aver preso di mira l’Ucraina dal 2014 e sostenuto dal Servizio di sicurezza federale russo (FSB). Prima del 2022, il servizio di sicurezza dell’Ucraina ha attribuito circa 5.000 cyberattacchi ad Armageddon e sono stati in grado di identificare cinque membri del gruppo e rintracciare il malware sulle piattaforme di hacking russo.

Il gruppo ha usato una serie di tattiche nel corso degli anni, tra cui macro di Outlook, backdoor EvilGnome, malware piantato e vulnerabilità esposte.

Nonostante gli sforzi ucraini per contrastare il gruppo nel corso degli anni, Armageddon è rimasto aggressivo.

In aprile, CERT-UA ha attribuito ad Armageddon una serie di email di phishing che sono state inviate a organizzazioni ucraine e ad altre agenzie governative europee. Le e-mail hanno attirato i destinatari utilizzando l’oggetto “Informazioni sui criminali di guerra della Federazione Russa“, che ha fornito un file da scaricare. Quando il file veniva aperto, uno script PowerShell veniva eseguito e infettava il dispositivo.

Nel mese di marzo una mail di phishing simile è stata inviata a funzionari del governo lettone con un file contenente informazioni sulla guerra che ha permesso il download del malware. Più recentemente, il 20 aprile, il gruppo è stato collegato a nuove varianti del carico utile del malware “Backdoor.Pterodo“. Armageddon ha usato questo payload in passato, tuttavia, creando costantemente nuove varianti, sono in grado di passare rapidamente a una nuova variante dopo che la precedente viene rilevata e bloccata. Anche se le loro tattiche non sono le più complesse, la loro capacità di rimanere persistenti negli sforzi contro l’Ucraina li ha resi una minaccia notevole.

UNC1151

Secondo la ricerca pubblicata da Mandiant, UNC1151 è un gruppo di hacker allineato alla Bielorussia attivo dal 2016. Il gruppo ha precedentemente preso di mira agenzie governative e organizzazioni private in Ucraina, Lituania, Lettonia, Polonia e Germania , attaccando anche dissidenti e giornalisti bielorussi. Storicamente, UNC1151 ha rubato le credenziali delle vittime attraverso domini registrati per il furto di credenziali che spoofano siti web legittimi. UNC1151 è stato anche collegato alla campagna Ghostwriter sulla base di ricerche che suggeriscono che UNC1151 ha fornito loro supporto tecnico e risultati che mostrano somiglianze nelle loro narrazioni. A causa del fatto che il gruppo non ha mai preso di mira la Russia e sulla base delle relazioni tra Bielorussia e Russia, UNC1151 è stato legato alle operazioni russe.

Da quando la Russia ha invaso l’Ucraina, il gruppo è rimasto aggressivo attraverso una varietà di attacchi. Nel mese di gennaio il gruppo è stato collegato al defacement di più siti web del governo ucraino che mostravano un messaggio che sosteneva che i dati personali erano stati resi pubblici. Il 25 febbraio, CERT-UA ha avvertito il pubblico di campagne di spearphishing che prendevano di mira gli account e-mail e Facebook del personale militare ucraino. Il gruppo è stato in grado di ottenere l’accesso ai messaggi e sono stati in grado di utilizzare i contatti degli account per inviare altre e-mail. Il 7 marzo, CERT-UA ha scoperto che le organizzazioni statali dell’Ucraina avevano dispositivi infettati con MicroBackdoor un programma dannoso eseguito da UNC1151.

Leggi : la storia completa di UNC1151

APT28 – FANCY BEAR

APT28 (indicato anche come Fancy Bear) è sostenuto dai servizi segreti militari della Russia (GRU). Secondo la ricerca di Mandiant, il gruppo ha condotto operazioni di cyber-spionaggio che si allineano con gli interessi del governo russo dal 2007, tuttavia, i legami governativi non sono stati confermati fino a dicembre 2016 dopo un’analisi del Dipartimento di Sicurezza Interna (DHS) e dell’FBI. ATP28 è stato coinvolto in una serie di cyberattacchi in cui hanno rubato informazioni altamente sensibili tra cui: il conflitto in Siria, le relazioni NATO-Ucraina, la crisi dei rifugiati e dei migranti dell’Unione europea, lo scandalo del doping degli atleti russi alle Olimpiadi e Paralimpiadi 2016, le accuse pubbliche riguardanti l’hacking russo sponsorizzato dallo stato e le elezioni presidenziali americane 2016.

ATP28 è stato collegato al cyberattacco al fornitore di comunicazioni satellitari americano Viasat. Gli attaccanti hanno ottenuto l’accesso alla rete KA-SAT di Viasat in Ucraina il 24 febbraio, lasciando molti ucraini senza accesso a Internet. Anche se il coinvolgimento di ATP28 nell’attacco non è stato confermato, SentinelOne ha alluso al loro coinvolgimento sulla base delle somiglianze tra il malware AcidRain utilizzato nell’attacco Viasat e un malware VPNFilter utilizzato nel 2018 nella distruzione di centinaia di migliaia di router che l’FBI ha confermato. Il 6 aprile, Microsoft ha ottenuto un ordine del tribunale che concede alla società il permesso di prendere il controllo di sette domini utilizzati da APT28 per condurre i loro attacchi.

Leggi la storia completa di Fancy Bear

AgenteTesla/XLoader

Gli hacktivisti russi e gli attori delle minacce in tutto il mondo hanno usato i malware AgentTesla e XLoader per qualche tempo, secondo Check Point Research. AgentTesla è nato intorno dal 2014, secondo la società di sicurezza TitanHQ, ed è usato come un programma per rubare le password. È cresciuto in popolarità in quanto i clienti possono pagare quote di abbonamento che vanno da 15 a 69 dollari. XLoader è un altro malware che è stato ribattezzato nel 2020 dal nome precedente, Formbook. XLoader prende di mira i dispositivi Windows e Mac attraverso e-mail di phishing e può raccogliere password e screenshot, registrare le sequenze di tasti e piantare file dannosi per una tassa di 49 dollari sul dark web.

Il 9 marzo, CERT-UA ha pubblicato i risultati che mostrano un thread di e-mail maligno distribuito in massa che ha utilizzato la linea di argomento, “lettera di approvazione della sicurezza di cassa“, che è stato inviato a una varietà di organizzazioni statali ucraine. L’e-mail conteneva un allegato che scaricava ed eseguiva il malware XLoader. Una volta infettati, i dati di autenticazione del dispositivo sono stati raccolti e rimandati agli hacker. Altre campagne di phishing sono state collegate ad AgentTesla, comprese le e-mail inviate ai cittadini ucraini contenenti file con il malware IcedID che opera come un trojan bancario per rubare le credenziali.

Pandora hVNC, RemoteUtilities, GrimPlant, GraphSteel

Chi: Gli hacktivisti russi e le spie informatiche usano GrimPlant e GraphSteel che funzionano come downloader e dropper e rientrano nel termine ombrello “Elephant Framework“, strumenti che sono scritti nella stessa lingua e sono utilizzati per colpire le organizzazioni governative attraverso attacchi di phishing. La società di analisi delle minacce, Intezer, dettaglia questa struttura e fornisce un’analisi approfondita dei malware. GrimPlant non è eccessivamente sofisticato e garantisce agli aggressori il controllo remoto dei comandi PowerShell, mentre GraphSteel è utilizzato per esfiltrare dati sensibili.

L’11 marzo, CERT-UA ha rivelato che “entità di coordinamento” avevano ricevuto e-mail riguardanti le istruzioni per aumentare il protocollo di sicurezza. L’e-mail conteneva un link che forniva un download di “aggiornamenti critici” attraverso un file di 60MB. Dopo ulteriori indagini, hanno scoperto che il file ha indotto una catena di altri download tra cui le backdoor GrimPlant e GraphSteel. Gli hacker sono stati quindi in grado di rubare informazioni sensibili.

Il 28 marzo, CERT-UA ha rivelato un’altra campagna di phishing che ha piantato GrimPlant e GraphSteel sui dispositivi dei funzionari governativi utilizzando l’oggetto “Arretrati salariali“. Il documento allegato conteneva informazioni accurate, tuttavia, il file ha anche scaricato un programma che ha eseguito sia GrimPlant che GraphSteel. CERT-UA ha rilasciato una dichiarazione all’inizio di questo mese avvertendo il pubblico dell’ultima e-mail di phishing che ha scaricato GrimPlant e GraphSteel attraverso un allegato etichettato, “Richiesta di aiuto COVID-19-04_5_22.xls.“