Bentrovati a un nuovo capitolo di Guerra Cibernetica. Dopo aver affrontato le attività di propaganda del paese Sovietico in rete, oggi entriamo nel merito dei gruppi militari e paramilitari presenti in Russia ed analizziamo le loro strategie. Attività come queste sono storicizzate dai primi anni 2000 e quindi la storia è piena di riferimenti su attività militari del gruppo informatico più chiacchierato del mondo occidentale. Non è un caso che quando accade qualcosa, l’hacker russo fa sempre il suo effetto nelle comunicazioni ufficiali dei soggetti aggrediti, anzi, viene avanzato subito il sospetto di un loro coinvolgimento ed in gran parte è vero. La Russia può contare su questi gruppi:

• Fancy Bear (APT28)
• Cozy Bear (APT29)
• Sandworm
• Berserk Bear
• FIN7
• Venomous Bear

In alcuni casi c’è l’acronimo della sigla Advanced Persisten Threat seguita da un numero, che serve a classificare il tipo di attacco a cui abbiamo dedicato il primo articolo che ha dato il via a questa rubrica. Il gruppo ha diversi nomi che sono scelti dagli scopritori degli attacchi e che generalmente sono società di sicurezza informatica impegnate nel campo della cybersecurity, sia statale sia aziendale, e nella produzione di antivirali. I mille volti di APT28 sono Pawn Storm, Sofacy Group (affibbiatogli da Kaspersky), Sednit, Tsar Team (da FireEye) e STRONTIUM (dal team di Microsoft. Essendo i russi impegnati nella guerra cibernetica da tempo, gli attacchi imputati a Fancy Bear sono in numero cospicuo.

Il nome “Fancy Bear” deriva dal sistema di codifica che Dmitri Alperovitch utilizza per i gruppi di hacker. “Bear” indica che gli hacker vengono dalla Russia. Fancy si riferisce a “Sofacy”, una parola nel malware che ha ricordato all’analista che lo ha trovato, la canzone “Fancy” di Iggy Azalea.

Il metodo degli attacchi

L’attacco di Fancy Bear non è unico, ma simile sotto certi aspetti perché rispecchia il protocollo delle minacce apt in generale. Vengono usate e-mail di spear phishing, per insinuarsi negli obiettivi con tecniche di ingegneria sociale. Non è un caso che hanno l’abitudine di spedire email il lunedì o il venerdì, dove chiedono di cambiare le password di accesso. Altro tipo di attacco è quello dei siti web di malware drop che, travestiti da fonti di notizie, consentono agli obiettivi di scaricare file malevoli spesso anche da domini simili ai siti più noti, ma è ricorrente anche l’utilizzo dei link abbreviati come bit.ly. Infine, le vulnerabilità zero-day. Proprio su quest’ultimo metodo è stata accertata la natura statale del gruppo perché solo nel 2015 Fancy Bear aveva effettuato attacchi con almeno 6 vulnerabilità critiche diverse, capaci di insinuarsi in programmi di alta gamma e questa potenza di fuoco può solo appartenere ad uno stato viste le risorse umane necessarie per raggiungere obiettivi del genere. I soggetti attaccati sono utilizzati anche come computer zombie che filtrano la navigazione in internet del team russo e questo rende incalcolabile la dimensione della bot net in possesso dell’FSB.

Giornalisti colpiti: dal New York Times alla CNN

Dalla metà del 2014 fino all’autunno del 2017, Fancy Bear ha preso di mira numerosi giornalisti negli Stati Uniti, Ucraina, Russia, Moldavia, Paesi Baltici e altri paesi che avevano scritto articoli su Vladimir Putin e il Cremlino. La lista dei bersagli di Fancy Bear include Adrian Chen, la giornalista armena Maria Titizian, Eliot Higgins di Bellingcat, Ellen Barry e almeno altri 50 reporter del New York Times, almeno 50 corrispondenti esteri con sede a Mosca che hanno lavorato per punti di informazione indipendenti, Josh Rogin, un editorialista del Washington Post, Shane Harris, uno scrittore del Daily Beast che nel 2015 ha coperto questioni di intelligence, Michael Weiss, un analista della sicurezza della CNN, 30 obiettivi dei media in Ucraina, reporter che hanno seguito la guerra sostenuta dalla Russia in Ucraina orientale, così come in Russia dove la maggior parte dei giornalisti presi di mira dagli hacker ha lavorato per notizie indipendenti come Ekaterina Vinokurova a Znak e i giornalisti russi di Governo come Tina Kandelaki, Ksenia Sobchak, e il conduttore televisivo russo Pavel Lobkov.

Attacchi tedeschi

Fancy Bear è ritenuto responsabile di un attacco informatico al parlamento tedesco durato sei mesi e iniziato nel dicembre 2014. L’attacco ha completamente paralizzato l’infrastruttura informatica del Bundestag nel maggio 2015. Per risolvere la situazione, l’intero parlamento ha dovuto essere messo offline per giorni con gli hacker russi che hanno scaricato come bottino un totale di 16 gigabyte di dati dal Parlamento. Un attacco che si è ripetuto nel 2016 ai membri del parlamento tedesco senza distinzione di appartenenza ai partiti mettendo in guardia l’intelligence sulle elezioni federali tedesche del 2017. Per questi attacchi, si è arrivati nel 2020 ad accusare Dimitri Badin, un ufficiale del GRU e sospetto membro di APT28, come principale sospettato per i cyber-attacchi. Tra i capi di imputazione figurano anche le elezioni del 2016 e del 2017 in Francia e Germania che sembrerebbero essere state prese di mira dal gruppo di Fancy Bear, anche se non ci sono mai state prove certe, ma solo ipotesi.

La False Flag del Califfato virtuale

Nel febbraio del 2015, cinque mogli di personale militare degli Stati Uniti hanno ricevuto minacce di morte da un gruppo hacker presentatosi come “CyberCaliphate“, sostenendo di essere un affiliato dello Stato Islamico. Si è poi scoperto che si trattava di un attacco false flag, con intenzioni di distrarre gli investigatori sugli autori, che è stato individuato quando, dopo indagini approfondite, le donne comparivano nella lista di email da utilizzare come esca per ottenere diverse informazioni.

Sempre sotto l’egida del CyberCaliphate, Fancy Bear l’ha letteralmente combinata grossa con la televisione francese TV5Monde nel mese di aprile sempre dello stesso anno. Oltre a modificare la programmazione per 3 ore di ben 12 canali televisivi appartenenti al network, rendendo il ripristino delle attività molto complesso tanto da pregiudicare i contratti commerciali dell’emittente televisiva, i pseudo hacker collegati all’ISIS hanno anche dirottato le pagine social su comunicazioni inneggianti al fondamentalismo islamico ed all’inutilità delle guerre intraprese dall’allora presidente Hollande. Ricostruendo l’accaduto, l’attacco è stato accuratamente pianificato con la tecnica di intrusione avvenuta nel 23 gennaio 2015, a cui ha fatto seguito lo studio dell’infrastruttura di rete del network televisivo, modellando poi un software maligno programmato per distruggere l’hardware in uso. Ben sette i punti di attacco sono stati individuati e non solo provenienti dalla Francia. Uno di questi è stato individuato nei Paesi Bassi e partiva da una società fornitrice delle telecamere di sorveglianza. Un altro attacco ha sfruttato i log TACACS per cancellare il firmware da switch e router. Un attacco che è costato caro all’azienda, di matrice russa secondo quanto riferito dalla cyber agenzia francese. La ragione però non è mai stata chiara e si sospetta che fosse un test di guerra cibernetica su una tipologia di servizi, quello televisivo, mai adottata fino a quel momento.

Assalto alle banche

Nel maggio 2015, la società di sicurezza root9B ha pubblicato un rapporto su Fancy Bear nel maggio 2015, annunciando la sua scoperta di un attacco di spear phishing mirato rivolto alle istituzioni finanziarie. Il rapporto ha elencato le istituzioni bancarie internazionali che sono state prese di mira, tra cui la United Bank for Africa, Bank of America, TD Bank, e UAE Bank. Sempre secondo gli scopritori, il malware utilizzato portava la stessa firma di altri impiegati dal gruppo militare russo

Guerra cibernetica per colpire il Patto Atlantico

Nell’agosto 2015, Fancy Bear ha utilizzato un exploit zero-day di Java, spoofando la Electronic Frontier Foundation e lanciando attacchi alla Casa Bianca e alla NATO. Gli hacker hanno utilizzato un attacco di spear phishing, indirizzando le e-mail al falso URL electronicfrontierfoundation.org

Attacchi ai giochi olimpici con l’infamia del doping

Un anno dopo l’attacco alla Nato, agosto 2016, la World Anti-Doping Agency ( Agenzia mondiale contro il doping) ha segnalato la ricezione di e-mail di phishing inviate agli utenti del suo database che sostenevano di essere comunicazioni ufficiali dell’agenzia e che richiedevano i loro dati di accesso. Dopo aver esaminato i due domini forniti dalla WADA, si è scoperto che le informazioni di registrazione e di hosting dei siti web erano coerenti con il gruppo di hacking russo Fancy Bear. Secondo la WADA, alcuni dei dati che gli hacker hanno rilasciato erano stati falsificati. La matrice russa era più che probabile visto il contesto storico delle Olimpiadi di Rio 2016 dove gli atleti di Putin erano stati esclusi proprio per motivi di Doping ed hanno provato a ricambiare con la stessa moneta pubblicando una lista di atleti famosi come le tenniste e sorelle Williams, che avevano ricevuto esenzioni dal doping per motivi terapeutici.

I funzionari della International Association of Athletics Federations (IAAF) hanno dichiarato nell’aprile 2017 che i suoi server erano stati violati dal gruppo “Fancy Bear” da almeno due mesi grazie ad un accesso remoto non autorizzato ai server della IAAF , avendo accesso alle applicazioni di Therapeutic Use Exemption, necessarie per utilizzare farmaci vietati dalla WADA

Nel gennaio 2018, un profilo online denominato “Fancy Bears Hack Team” ha fatto trapelare quelle che sembravano essere email rubate del Comitato Olimpico Internazionale (CIO) e del Comitato Olimpico degli Stati Uniti, datate dalla fine del 2016 all’inizio del 2017, sono trapelate in apparente ritorsione per il divieto del CIO di atleti russi dalle Olimpiadi invernali del 2018 come sanzione per il programma di doping sistematico della Russia.

Anche la Confederazione sportiva svedese ha riferito che Fancy Bear ha attaccato i loro archivi contenenti le registrazioni dei test antidoping degli atleti ad essa iscritti. Sul fronte del doping, i russi sono stati sempre molto attivi tanto da prendere di mira la Berlinger Group, azienda impegnata nel settore dei test antidroga sportivi.

Dagli USA è arrivata nell’ottobre 2018 un’incriminazione da parte di un gran giurì federale degli Stati Uniti destinata a di sette uomini russi, tutti ufficiali del GRU, in relazione a svariati attacchi ed in particolare agli atleti russi coinvolti nei giochi olimpici.

La strage aerea del Malaysia Airlines

Colpevoli di aver diffuso le prove del tragico schianto aereo del volo 17 in dotazione alla Malaysia Airlinies, gli hacker russi di Fancy Bear hanno attaccato i giornalisti associati al gruppo editoriale Bellingcat con falsi avvisi Gmail di compromissione della sicurezza che utilizzavano links abbreviati come bit.ly ed i server di origine furono classificati come già utilizzati dall’atp28 in incursioni precedenti. Sempre in merito alla vicenda del volo abbattuto costato la vita a centinaia di civili, il gruppo ha preso di mira il Dutch Safety Board, l’organismo che conduce l’indagine ufficiale sullo schianto, prima e dopo la pubblicazione del rapporto finale della commissione. Hanno creato falsi server SFTP e VPN per imitare i server del consiglio, probabilmente allo scopo di spearphishing di nomi utente e password, ma questa volta senza successo.