La sicurezza informatica e la guerra cibernetica tra Russia e Ucraina sono al centro dell’attenzione internazionale con due eventi significativi: le attività di hacking condotte dal gruppo APT29, affiliato al servizio di intelligence russo SVR, che prendono di mira i server Zimbra e TeamCity, e l’arresto in Ucraina di un operatore VPN che consentiva l’accesso non autorizzato al Runet. Questi casi evidenziano la complessità della lotta contro le minacce informatiche, in un contesto di crescente tensione geopolitica e cybercriminalità.

Gli attacchi di APT29 contro server Zimbra e TeamCity

Le agenzie di sicurezza statunitensi e britanniche, tra cui la NSA, l’FBI e il NCSC del Regno Unito, hanno emesso un avviso congiunto riguardo a un’ondata di attacchi condotti dal gruppo di hacker APT29, noto anche come Cozy Bear o Midnight Blizzard. Questo gruppo, legato al servizio di intelligence russo SVR, è specializzato in operazioni di cyber-spionaggio e ha preso di mira numerosi server Zimbra e TeamCity non aggiornati, sfruttando vulnerabilità note come CVE-2022-27924 e CVE-2023-42793.

• Sfruttamento delle vulnerabilità: La vulnerabilità CVE-2022-27924 consente agli hacker di sottrarre credenziali di account email da istanze di Zimbra Collaboration non aggiornate, mentre CVE-2023-42793 è stata sfruttata per ottenere accesso iniziale ai sistemi TeamCity, facilitando attacchi alla supply chain. Queste falle sono state utilizzate anche da gruppi di ransomware e hacker nordcoreani, il che evidenzia la gravità delle minacce.
• Obiettivi globali: L’attività di APT29 si estende a livello globale, colpendo organizzazioni governative e private in diversi settori. Gli esperti di sicurezza hanno avvertito che gli attacchi potrebbero coinvolgere ulteriori vulnerabilità per ottenere l’esecuzione di codice remoto e l’escalation dei privilegi sui sistemi target. L’NSA ha sottolineato l’importanza di aggiornare i software e applicare le patch di sicurezza per prevenire intrusioni nei sistemi.

APT29 non è nuovo a operazioni di alto profilo. Già in passato, il gruppo è stato coinvolto nell’attacco alla supply chain di SolarWinds, che ha compromesso diverse agenzie federali degli Stati Uniti. Le recenti attività confermano l’interesse di APT29 nel condurre attacchi mirati contro infrastrutture critiche, sfruttando vulnerabilità e falle di sicurezza non risolte.

L’arresto in Ucraina di un operatore VPN illegale per accesso al Runet

Mentre le agenzie di sicurezza di Stati Uniti e Regno Unito affrontano le minacce di APT29, le autorità ucraine hanno arrestato un cittadino di 28 anni che gestiva un servizio VPN illegale. Questo servizio permetteva agli utenti di accedere al Runet, la parte dell’internet dominata dai domini russi, aggirando le restrizioni imposte dall’Ucraina a seguito della guerra con la Russia.

Il contesto del Runet e le restrizioni ucraine: Il Runet comprende piattaforme online russe come social media, motori di ricerca e siti governativi, accessibili solo all’interno del territorio russo. Per limitare l’influenza russa e rispettare le sanzioni del Consiglio di Sicurezza e Difesa Nazionale dell’Ucraina, il Paese ha bloccato l’accesso a questi siti. Tuttavia, il servizio VPN illegale consentiva a utenti russi nelle aree occupate e simpatizzanti in Ucraina di eludere i blocchi.

Operazione e conseguenze legali: L’operatore VPN, autodidatta e residente a Khmelnytskyi, aveva allestito un server autonomo nella propria abitazione e affittato ulteriori server in Germania, Francia, Paesi Bassi e Russia per gestire il traffico dati. Il servizio, pubblicizzato su Telegram, dava accesso a oltre 48 milioni di indirizzi IP russi e facilitava un traffico di oltre 100 gigabyte al giorno. Le autorità ucraine hanno sequestrato computer, telefoni e attrezzature, avviando indagini per identificare eventuali complici e collaboratori russi.

Questo caso ha sollevato preoccupazioni sul possibile coinvolgimento dell’intelligence russa, che potrebbe aver avuto accesso ai dati degli utenti del servizio VPN. Il gestore rischia una pena fino a 15 anni di reclusione per la violazione della legge ucraina sulla sicurezza informatica.

Cyber minacce globali e risposte nazionali

Le attività di hacking di APT29 e l’arresto del gestore VPN in Ucraina sottolineano la complessità delle minacce cibernetiche nel contesto geopolitico attuale. Da un lato, gruppi come APT29 sfruttano vulnerabilità per condurre operazioni di spionaggio su scala globale, mentre dall’altro, la diffusione di servizi VPN illegali evidenzia la difficoltà di mantenere il controllo sui flussi di informazioni tra nazioni in conflitto.

La cooperazione internazionale e il rafforzamento delle misure di sicurezza restano fondamentali per mitigare queste minacce. La capacità di monitorare e reagire rapidamente a nuove vulnerabilità e di neutralizzare reti clandestine come quella del gestore VPN dimostrano che la lotta contro il cybercrimine richiede uno sforzo costante e coordinato.

Bohemia e Cannabia, due dei mercati più grandi e longevi del dark web, sono stati recentemente smantellati in seguito a un’operazione congiunta che ha coinvolto le forze di polizia di Paesi Bassi, Irlanda, Regno Unito e Stati Uniti. Questi mercati, noti per la vendita di beni illeciti come droghe e servizi legati al cybercrimine, sono stati chiusi dopo che gli amministratori hanno tentato di sottrarre i fondi con una strategia di exit scam. L’intervento delle autorità dimostra l’efficacia della cooperazione internazionale nella lotta contro le attività illegali online.

Indagine e smantellamento di Bohemia e Cannabia

Le indagini su Bohemia e Cannabia sono iniziate nel 2022, quando la Politie olandese ha identificato i server legati a questi mercati nascosti nel dark web. Questi marketplace, descritti come i più grandi e longevi nel loro genere, facilitavano la vendita di beni illeciti, inclusi droghe, strumenti per attacchi DDoS e altre attività criminali. Ogni mese, i mercati registravano circa 67.000 transazioni, con un volume d’affari stimato a 12 milioni di euro solo nel settembre 2023.

Gli amministratori dei mercati, consapevoli dell’indagine in corso, hanno tentato di chiudere le operazioni e fuggire con i guadagni, stimati intorno ai 5 milioni di euro. Questo tentativo di exit scam non ha però fermato le autorità, che sono riuscite a identificare e arrestare due sospetti: uno nei Paesi Bassi, che è comparso davanti a un tribunale di Rotterdam, e un altro in Irlanda. L’operazione ha inoltre portato al sequestro di criptovalute per un valore di 8 milioni di euro e di due veicoli.

La Politie ha sottolineato come l’anonimato del dark web sia spesso sopravvalutato da chi lo utilizza per attività illecite. Grazie alla collaborazione tra le forze di polizia di diversi Paesi, l’indagine ha dimostrato che anche i più sofisticati marketplace online possono essere rintracciati e chiusi, infliggendo un duro colpo alla credibilità e alla fiducia in questi ambienti clandestini.

Le conseguenze del takedown sui mercati del dark web

La chiusura di Bohemia e Cannabia rappresenta un segnale forte per la comunità del dark web, dove spesso si crede che l’anonimato possa garantire l’impunità. La cooperazione tra le forze di polizia europee e statunitensi ha reso possibile il tracciamento dei flussi finanziari e l’identificazione dei responsabili, dimostrando che la tecnologia investigativa può superare le barriere imposte dalla rete oscura.

Il successo dell’operazione sottolinea anche l’importanza di una sorveglianza costante e della condivisione delle informazioni tra le agenzie di sicurezza. Questo approccio permette di destabilizzare le reti criminali che operano nel dark web, rendendo più difficile per i cybercriminali organizzarsi e trovare nuovi spazi sicuri per le loro attività. In un contesto in cui le piattaforme illegali proliferano, la chiusura di mercati come Bohemia e Cannabia invia un messaggio chiaro: le attività illecite online non sono al riparo dalle indagini internazionali.

I ricercatori di ESET hanno scoperto una serie di attacchi contro un’organizzazione governativa in Europa condotti dall’APT di cyber-spionaggio GoldenJackal. Questo gruppo, attivo dal 2019, è specializzato nel colpire enti governativi e diplomatici in Europa, Medio Oriente e Asia del Sud. Gli attacchi di GoldenJackal sono particolarmente sofisticati, in quanto puntano a compromettere sistemi air-gapped, ossia isolati dalla rete per ridurre i rischi di compromissione.

Attacchi contro sistemi air-gapped: strategie di GoldenJackal

GoldenJackal ha dimostrato un’abilità unica nell’attaccare sistemi air-gapped, come dimostrato in un’operazione contro un’ambasciata dell’Asia del Sud in Bielorussia nel 2019, e più recentemente, contro un’organizzazione governativa nell’Unione Europea tra maggio 2022 e marzo 2024. Per queste campagne, il gruppo ha utilizzato strumenti non documentati, progettati per aggirare le misure di sicurezza e ottenere l’accesso a sistemi sensibili.

• Strumenti di attacco: GoldenJackal ha sviluppato una serie di strumenti personalizzati come GoldenDealer, un programma che monitora l’inserimento di dispositivi USB e può trasferire eseguibili verso i sistemi air-gapped. Un altro strumento, GoldenHowl, è un backdoor modulare che consente di eseguire comandi remoti, raccogliere dati sensibili e distribuirli tramite USB o connessioni internet quando disponibili.
• GoldenRobo, un altro componente, permette di copiare file specifici da sistemi air-gapped, come documenti PDF e file di configurazione, e di trasmetterli ai server di controllo e comando (C&C) gestiti dal gruppo.

Questi attacchi puntano a rubare informazioni riservate, come documenti diplomatici e dati sensibili di reti governative, con un’enfasi particolare sui sistemi che non sono collegati direttamente a internet, rendendo la compromissione più complessa e costosa.

Profilo di GoldenJackal e tecniche di intrusione

GoldenJackal è un gruppo APT (Advanced Persistent Threat) con capacità avanzate, poco noto fino a quando non è stato descritto pubblicamente nel 2023 da Kaspersky. Il gruppo utilizza un set di strumenti modulare che permette di adattarsi a diversi scenari di attacco. I suoi strumenti principali sono scritti in C# e comprendono JackalControl, JackalSteal, JackalWorm, JackalPerInfo e JackalScreenWatcher, tutti progettati per scopi di spionaggio.

• Modularità e adattabilità: La strategia di GoldenJackal si basa sull’uso di strumenti flessibili che possono essere facilmente aggiornati o sostituiti durante un’operazione. Ciò rende più difficile per le vittime identificare e bloccare i loro attacchi.
• Attacchi mirati: Le campagne di GoldenJackal sono altamente mirate, indirizzate a specifiche organizzazioni con valore strategico. In particolare, le reti air-gapped rappresentano un obiettivo di alto valore, in quanto spesso custodiscono informazioni critiche.

Implicazioni per la sicurezza informatica

Gli attacchi di GoldenJackal evidenziano l’importanza di una protezione avanzata per le reti sensibili, soprattutto per quelle isolate da internet. L’uso di dispositivi fisici come i drive USB per trasferire malware sottolinea la necessità di controlli rigorosi anche sui supporti removibili. Organizzazioni governative e diplomatiche devono implementare strategie di sicurezza multilivello e aggiornare costantemente le loro difese per prevenire intrusioni di gruppi sofisticati come GoldenJackal.