Gli esperti di Mandiant stanno comunicando in anticipo quelle che potrebbero essere le attività informatiche aggressive che la Russia potrebbe scatenare nelle prossime settimane
La crisi in Ucraina ha già dimostrato di essere un catalizzatore per ulteriori attività informatiche aggressive che aumenteranno nei numeri con il peggiorare della situazione. Secondo Mandiant, che ha rilevato in anticipo questa attività, vi è la possibilità che a differenza dei recenti attacchi defacement e distruttivi, la futura attività non sarà limitata a obiettivi ucraini o al solo settore pubblico.
Lo scopo dell’attività
La Russia e i suoi alleati condurranno attività di spionaggio informatico, operazioni di disinformazione e attacchi informatici distruttivi durante la durata di questa crisi. Lo spionaggio informatico ormai si osserva comunemente a livello globale ma, con il deteriorarsi della situazione ucraina, è probabile che si osserveranno operazioni di disinformazione più aggressive e attacchi informatici distruttivi all’interno e all’esterno dell’Ucraina.
Gli aggressori russi che effettuano attività di spionaggio informatico, come UNC2452, Turla e APT28, sono legati ai servizi segreti russi e hanno quasi certamente già ricevuto il compito di fornire informazioni sulla crisi. Questi gruppi colpiscono spesso obiettivi governativi, militari e diplomatici in tutto il mondo, per ottenere informazioni a vantaggio del processo decisionale della politica estera russa.
La Russia sfrutta diversi gruppi di spionaggio informatico, come TEMP.Armageddon (UNC530), che operano dai territori occupati in Crimea e dall’Ucraina orientale.
“Le operazioni di disinformazione, come quelle che coinvolgono la creazione e la diffusione di contenuti creati ad-hoc e la manipolazione dei social media per promuovere determinati argomenti, sono attività che abbiamo già riscontrato in questi scenari di crisi”, dichiara John Hultquist, VP of Intelligence Analysis di Mandiant. “Continuiamo a vedere sia aggressori pro-Russia sia altri gruppi promuovere informazioni in linea con gli interessi russi e condurre regolarmente operazioni volte a influenzare negativamente le opinioni rispetto agli alleati della NATO e i partner della NATO nell’Europa orientale”.
In particolare, un funzionario ucraino ha attribuito i recenti defacement dei siti web del governo ucraino a UNC1151 (un aggressore che Mandiant ha collegato alla Bielorussia), anche se Mandiant non ha ancora la possibilità di confermare l’attribuzione fatta dal funzionario. In precedenza, Mandiant ha rilevato attività simili condotte da aggressori legati al GRU, Sandworm Team e APT28.
Gli attacchi informatici dirompenti e distruttivi possiedono una minor frequenza rispetto allo spionaggio informatico e ad altre forme di attività di disinformazione. Sandworm Team è la principale fonte di attacco informatico da parte della Russia, avendo condotto attacchi complessi che hanno causato interruzioni di elettricità in Ucraina, nonché l’attacco distruttivo con l’impatto economico più elevato della storia: NotPetya. Un altro aggressore, che Mandiant ha denominato TEMP.Isotope (UNC806/UNC2486 aka Berserk Bear, Dragonfly), possiede una lunga storia di compromissioni delle infrastrutture critiche negli Stati Uniti e in Europa.
“Anche se non abbiamo ancora visto questo aggressore provare a interrompere queste infrastrutture, crediamo che queste violazioni siano preparatorie per attività più dannose da parte della Russia”, aggiunge Hultqvist.
