Il gruppo di cyber-spionaggio Turla, noto anche come “Secret Blizzard”, continua a sfruttare infrastrutture di altri hacker per colpire dispositivi critici in Ucraina. Utilizzando malware avanzati come Tavdig e KazuarV2, Turla si concentra su bersagli di alto valore, tra cui dispositivi militari connessi tramite Starlink, dimostrando una strategia sofisticata e mirata per raccogliere intelligence sul campo.

Tecniche e infrastruttura utilizzate da Turla

Turla ha recentemente sfruttato l’infrastruttura della botnet Amadey e il malware di un altro gruppo russo, Storm-1837, per distribuire i propri strumenti malevoli. In alcuni casi, Turla ha utilizzato Amadey per scaricare un dropper PowerShell che caricava payload personalizzati come Tavdig.

Questi attacchi iniziano con email di phishing contenenti allegati malevoli o backdoor che sfruttano vulnerabilità note, come la falla di WinRAR CVE-2023-38831. Gli strumenti di Turla sono poi utilizzati per identificare e compromettere dispositivi di interesse strategico, inclusi quelli che utilizzano connessioni Starlink, cruciali per le comunicazioni militari.

Malware Tavdig e KazuarV2: armi principali di Turla

Tavdig e KazuarV2 sono componenti fondamentali nell’arsenale di Turla.

• Tavdig: progettato per stabilire una presenza iniziale sui dispositivi compromessi, raccoglie credenziali, configura reti e scarica payload aggiuntivi.
• KazuarV2: un backdoor stealth per la raccolta di dati sensibili e l’esecuzione di comandi. Grazie alla sua capacità modulare, KazuarV2 può essere adattato per missioni di spionaggio specifiche.

Questi malware operano in modo silente, iniettandosi in processi legittimi come “explorer.exe”, rendendo difficile il rilevamento da parte dei sistemi di sicurezza.

Obiettivi e significato geopolitico

Le operazioni di Turla, legate all’FSB russo, dimostrano una sofisticata strategia di spionaggio cibernetico volta a raccogliere informazioni critiche sulle attività militari ucraine. L’utilizzo di infrastrutture altrui, come botnet Amadey e il malware Cookbox di Storm-1837, non solo permette di mascherare l’origine degli attacchi, ma amplifica l’efficacia delle operazioni. Target prioritari includono dispositivi di comunicazione militare connessi a Starlink, una risorsa essenziale per le truppe in prima linea.

Raccomandazioni di sicurezza

Microsoft suggerisce diverse misure di mitigazione per contrastare le attività di Turla:

• Monitorare le reti per rilevare l’uso di dropper PowerShell e attività sospette correlate ad Amadey.
• Verificare i dispositivi connessi a sistemi critici, come quelli che utilizzano Starlink, per identificare eventuali anomalie.
• Implementare le query di caccia e i suggerimenti forniti da Microsoft per individuare le attività di Tavdig e KazuarV2.

Collaborazione internazionale

Questi attacchi sottolineano la necessità di un’efficace collaborazione tra i governi e il settore privato per proteggere le infrastrutture critiche. I rapporti forniti da Microsoft e altri esperti di sicurezza sono cruciali per anticipare e neutralizzare operazioni di questa portata.

Gli attacchi cibernetici di Turla contro l’Ucraina rappresentano una delle più avanzate operazioni di spionaggio del panorama attuale. Attraverso strumenti modulari e infrastrutture camuffate, il gruppo mostra un alto grado di adattabilità, richiedendo risposte altrettanto sofisticate per proteggere risorse critiche e comunicazioni sensibili.

Il plugin Hunk Companion, utilizzato per migliorare le funzionalità di temi WordPress sviluppati da ThemeHunk, è al centro di una grave vulnerabilità. La falla, classificata come CVE-2024-11972, permette l’installazione arbitraria di plugin vulnerabili tramite richieste POST non autenticate, mettendo a rischio oltre 10.000 siti WordPress.

L’origine della minaccia Hunk Companion

La vulnerabilità, scoperta dal ricercatore Daniel Rodriguez di WPScan, consente agli hacker di installare plugin con note vulnerabilità direttamente dal repository di WordPress.org. Questi plugin, spesso obsoleti, sono sfruttati per eseguire codice malevolo o creare account di amministratori backdoor.

Durante un’analisi, WPScan ha rilevato che gli aggressori utilizzavano la vulnerabilità per installare plugin come WP Query Console, aggiornato l’ultima volta oltre 7 anni fa, e sfruttarlo per lanciare attacchi di esecuzione remota di codice (RCE). Attraverso questa tecnica, gli hacker inseriscono dropper PHP nella directory principale del sito, garantendo accesso persistente tramite richieste GET non autenticate.

Azioni correttive e consigli

Hunk Companion ha rilasciato la versione 1.9.0 per affrontare il problema, ma la portata dell’attacco resta significativa: più di 8.000 siti non hanno ancora applicato l’aggiornamento.

Gli utenti sono caldamente invitati a:

• Aggiornare immediatamente alla versione 1.9.0.
• Verificare la presenza di plugin sospetti o obsoleti, rimuovendoli se necessario.
• Monitorare i file del sito per identificare dropper o codice non autorizzato.

Questo caso dimostra quanto sia cruciale mantenere i plugin aggiornati e monitorare costantemente la sicurezza dei siti WordPress. La collaborazione tra sviluppatori e amministratori resta essenziale per mitigare rischi simili.

In un’azione coordinata su scala globale, Europol e le forze dell’ordine di 15 nazioni hanno smantellato 27 piattaforme utilizzate per attacchi DDoS. L’operazione, denominata PowerOFF, ha portato all’arresto di tre amministratori e all’identificazione di oltre 300 utenti coinvolti in attività illegali. Questa iniziativa rappresenta un passo significativo nella lotta alla cybercriminalità, con particolare attenzione alla prevenzione durante il periodo delle festività natalizie.

Le piattaforme DDoS sotto attacco

Le piattaforme note come “booter” e “stresser”, come zdstresser.net e orbitalstress.net, sono state utilizzate per inondare di traffico illegale siti web, rendendoli inaccessibili. Questi servizi permettevano a hacker e hacktivisti di lanciare attacchi contro obiettivi scelti, causando danni economici, reputazionali e operativi significativi.

Europol, attraverso il suo Centro Europeo per il Cybercrime (EC3), ha svolto un ruolo centrale nella pianificazione e nel coordinamento delle operazioni. Oltre agli arresti, l’indagine ha portato alla rimozione di una delle piattaforme più attive nei Paesi Bassi e all’identificazione di centinaia di utenti sospettati.

Arresti e prevenzione in Olanda

In Olanda, la polizia ha individuato circa 200 sospetti, con quattro arrestati per centinaia di attacchi DDoS. Uno degli arrestati, un uomo di 26 anni, è accusato di aver eseguito oltre 4.000 attacchi. Le forze dell’ordine hanno inoltre avviato un programma di prevenzione, che include colloqui di avvertimento con potenziali hacker e campagne online per scoraggiare l’uso di piattaforme DDoS-for-hire.

Azione globale coordinata

L’operazione PowerOFF ha visto la partecipazione di forze di polizia da 15 nazioni, tra cui Stati Uniti, Regno Unito, Australia, Giappone, Germania e Canada. Grazie alla collaborazione tra Europol e le agenzie locali, i dati raccolti dalle piattaforme smantellate sono stati condivisi a livello globale, portando ad arresti e interventi in molteplici paesi.

Effetti preventivi e sensibilizzazione

Oltre agli arresti e alla chiusura delle piattaforme, PowerOFF mira a prevenire futuri attacchi attraverso campagne educative e deterrenti digitali. Annunci mirati su Google e YouTube, rivolti ai giovani che cercano strumenti DDoS-for-hire, evidenziano le conseguenze legali di tali attività. Nei Paesi Bassi, oltre 200 sospetti sono stati avvisati tramite lettere e e-mail, e dieci utenti identificati riceveranno visite dirette dalle autorità.

Un impatto duraturo sulla sicurezza cibernetica

L’operazione si inserisce in una strategia più ampia contro il crimine informatico, non solo smantellando infrastrutture illegali, ma anche educando e scoraggiando potenziali criminali. La rimozione di piattaforme popolari come zdstresser.net e la crescente capacità di rintracciare gli utenti dimostrano che le forze dell’ordine stanno rafforzando il controllo sul cyberspazio.

PowerOFF rappresenta un passo decisivo nella lotta contro il crimine informatico, combinando azioni repressive con programmi educativi e preventivi. L’operazione dimostra che la cooperazione internazionale è fondamentale per affrontare minacce complesse come gli attacchi DDoS, contribuendo a un cyberspazio più sicuro per tutti.