Sommario
Le nuove minacce alla cybersicurezza globale stanno richiamando attenzione, con gli attacchi informatici della Russia e della Cina che mirano a influenzare governi, organizzazioni non governative e grandi aziende. Due recenti episodi, coinvolgenti i servizi di intelligence russi e la Cina, evidenziano i crescenti rischi per la sicurezza nazionale e l’integrità delle informazioni sensibili di numerosi paesi, tra cui Canada, Regno Unito e altri stati occidentali.
Russia: la nuova tattica di phishing via RDP del gruppo Midnight Blizzard
Dal 22 ottobre 2024, un’ondata di attacchi informatici di tipo spear-phishing attribuiti a un gruppo di spionaggio russo ha preso di mira organizzazioni governative e accademiche, nonché ONG e aziende di difesa. Il gruppo Midnight Blizzard (noto anche come APT29 o Cozy Bear) ha implementato una tecnica insolita che impiega file di configurazione per il protocollo di desktop remoto (RDP), modalità mai usata in precedenza come strumento di accesso iniziale.
Questi file RDP sono progettati per stabilire connessioni remote che permettono agli attaccanti di accedere ai dispositivi delle vittime e trasmettere dati sensibili come dischi rigidi, contenuti degli appunti e periferiche connesse. La connessione stabilita consente di mappare le risorse locali sul server degli attaccanti, che possono utilizzare l’accesso per installare malware e trojan (RAT) che consentono un accesso continuativo anche dopo la chiusura della sessione RDP. Questo metodo comporta inoltre il rischio di esposizione delle credenziali delle vittime.
Secondo Microsoft e il CERT dell’Ucraina, gli attacchi, rivolti principalmente a paesi come Regno Unito, Australia e Giappone, vengono condotti in alcuni casi tramite email contraffatte che impersonano impiegati Microsoft o rappresentanti di altri servizi cloud, con oggetti incentrati su problemi di integrazione con servizi Microsoft o Amazon e sull’implementazione di architetture di sicurezza zero trust. Secondo il CERT-UA, questi attacchi potrebbero essere stati pianificati già da agosto 2024.
L’abilità del gruppo russo si è già manifestata all’inizio dell’anno, quando è stato rivelato un accesso non autorizzato ai sistemi interni della stessa Microsoft, con compromissione delle email tra il gigante tecnologico e i suoi clienti. Questo episodio, secondo analisi successive, ha reso possibile agli attori malevoli l’utilizzo di informazioni di autenticazione per nuovi tentativi di violazione.
Cina: minaccia cyber primaria contro il Canada
Il Canada, attraverso il Communications Security Establishment (CSE), ha pubblicato il suo biennale “National Cyber Threat Assessment”, identificando la Cina come il principale attore cibernetico con intenti di spionaggio e raccolta dati. Le operazioni cinesi, descritte come le più aggressive, si concentrano su obiettivi di alto profilo politico ed economico, inclusi attacchi di spionaggio, furto di proprietà intellettuale e tentativi di influenzare le decisioni di figure critiche verso il Partito Comunista Cinese (CCP).
Il rapporto ha evidenziato come almeno venti reti governative canadesi siano state compromesse da attori cinesi negli ultimi cinque anni, con l’obiettivo di ottenere informazioni strategiche o economiche che possano avvantaggiare la Cina sia in ambito diplomatico che commerciale. Si ritiene che le attività di spionaggio e raccolta dati da parte della Cina si intensificheranno parallelamente alle crescenti tensioni economiche con Canada e suoi alleati.
Il settore privato canadese non è immune: aziende e istituzioni tecnologiche nazionali rappresentano bersagli ideali, in quanto la Cina è interessata ad acquisire dati su tecnologie avanzate come interfacce uomo-macchina, computer quantistici, reti 6G, e nuove piattaforme Web 3.0. La situazione geopolitica ha inoltre registrato una nuova svolta con l’inclusione dell’India tra le potenziali minacce, a seguito delle recenti tensioni diplomatiche tra i due paesi.
Le dinamiche di spionaggio cibernetico, quindi, non solo intensificano la minaccia per infrastrutture critiche, ma evidenziano come operazioni di spionaggio informatico siano ormai strumenti consolidati per consolidare posizioni di vantaggio politico ed economico da parte di potenze globali come Cina e Russia.
Sicurezza e protezione contro attacchi cibernetici
Con l’aumento degli attacchi mirati alla raccolta di informazioni sensibili, le autorità e le imprese canadesi e di altri paesi devono continuare ad adottare misure avanzate di difesa, come l’implementazione di architetture zero trust e l’uso di strumenti di monitoraggio e rilevamento avanzato per anticipare e neutralizzare tentativi di compromissione dei dati.
