Precedenti, attori in campo e rischi per l’Europa nell’analisi del team GReAT
Una guerra nella guerra, quella che si sta consumando in queste ore in Ucraina. Che pur risucchiata dalla spirale di morte e distruzione dentro alla quale ci hanno trascinato le bombe e i tanks russi, continua a provocare danni e minaccia direttamente anche l’Europa. E che presto potrebbe riconquistare la scena se e quando il conflitto si trasformerà in guerriglia.
Una contrapposizione violenta continuamente monitorata dai ricercatori di Kaspersky e che ieri nel corso di un webinar dal titolo A look at current cyberattacks in Ukraine hanno provato ad analizzare in una prospettiva di più ampio respiro. Cercando di far luce sulle attività criminali degli attori coinvolti nel conflitto in Ucraina. Questi i passaggi più significativi dell’analisi.
Dieci anni di attacchi
La disamina del GReAT inizia ricordando la lunga serie di attacchi cyber perpetrati ai danni dell’Ucraina, a partire dal 2014, anno dell’annessione della Crimea da parte di Mosca e dell’inizio del conflitto nella regione orientale del Donbass; proseguiti nell’inverno 2015 con gli attacchi che hanno messo in ginocchio la rete elettrica del paese, costringendo oltre duecentomila ucraini a rimanere senza elettricità e riscaldamento e ancora nel 2016 con una serie di attacchi ai danni del sistema industriale ucraino. Nel 2017, è stata la volta del virus NotPetya, «forse il più devastante» commenta Marco Preuss, Head of GReAT Europe – che ha preso di mira banche, giornali e primarie aziende. Fino ad arrivare ai circa 397.000 attacchi informatici nel 2020 e i 288.000 dei primi 10 mesi del 2021 e alla massiccia controffensiva dello scorso gennaio che ha portato al down di numerosi siti web di enti governativi tra cui il ministero degli Affari esteri e il ministero dell’Istruzione.
Gli attori
Due gli schieramenti di gruppi hacker in campo. Una minoranza quelli schierati al fianco della Russia. Ci sono i bielorussi di UNC1151, anche conosciuto come Ghostwriter, autori di reiterate campagne di phishing ai danni dei governi ucraino e prima ancora polacco. I russi di Killnet, intestatari del recente attacco ai danni di Anonymous e il famigerato Conti Group, un lungo passato di operazioni di sabotaggio, infiltrato di recente da una spia ucraina che ha trafugato materiale e chat dei suoi membri. Operazione che potrebbe gettare una luce nuova su tecniche di reclutamento e modus operandi di altri gruppi criminali come questo. Numericamente maggiori i gruppi pro Kiev. Anzitutto l’IT Army of Ukraine, braccio cyber del governo ucraino per contrastare l’offensiva russa, forte di oltre 280 mila iscritti. Ma ci sono anche i georgiani di BlackHawks e Gng, i turchi del gruppo Monarch Turkish Hactivist e gli indonesiani di GreenXparta_9haan) e la tutta la galassia Anonymous. Gli schieramenti sono fluidi, i numeri destinati a cambiare in fretta. Sia perché gli attacchi si susseguono, con diversi gradi d’intensità e gravità il che rende difficile monitorare con precisione i movimenti, sia perchè l’adesione massiva a questa chiamata alle armi cyber ben oltre i confini dei due paesi in guerra, risponde a ragioni in buona parte ancora da indagare.
Pericolo spillover
La guerra in atto anche nello spazio cyber attira e contrappone gruppi di hacker. Ognuno con il proprio arsenale di malware e tecniche d’attacco. Questo moltiplicarsi di armi impiegate aumenta il rischio che strumenti e contagi possano propagarsi in altri Paesi fuori dal perimetro del conflitto o finire in mano al crimine organizzato. La maggior parte degli attacchi in corso – commenta Costin Raiu, Director del GReAT nella slide conclusiva – sono a bassa complessità (malware e attacchi Ddos). Con almeno però un paio di eccezioni. L’attacco a Viasat, la rete internet satellitare civile che copre il nord Europa, gestita dall’omonima società americana, già colpita da un attacco che ha reso inutilizzabili decine di migliaia di terminali e hermeticWiper, un malware, segnalato anche dall’Agenzia di cybersicurezza nazionale, in grado di cancellare irreversibilmente qualsiasi informazione presente nel sistema attaccato. Più che sufficienti al team GReAT per classificare il rischio spillover medio alto.
Come difendersi
«Le aziende devono prendere misure specifiche contro gli attacchi ddos, ransomware e attacchi distruttivi, phishing attacchi mirati, attacchi al firmware e gli attacchi che riguardano le catene di approvvigionamento, particolarmente critici» mette in guardia Raiu. Il consiglio è quello di integrare la Threat Intelligence dentro ai SOC e agli EDR. Fare tesoro degli IOC (indicatori di compromissione) per intercettare e gestire un attacco – e delle detection rules di tool come Snort, Yara, Suricata, Sigma, ecc.
Webinar, IOC e tutte le informazioni che il GReAT – Global Research and Analysis Team – dichiara di voler condividere con la comunità cyber di sicurezza saranno disponibili a partire dalla giornata di oggi su www.securelist.com.
