Lugansk – l’oblast’ sostenuta dalla Russia – avrebbe preso di mira all’inizio dell’anno una serie di istituzioni e realtà governative ucraine. A rivelarlo è un documento elaborato dalla società di cyber security FireEye, la quale parla di una campagna di spearphishing mirata a aprire le porte di una massiccia operazione di spionaggio.

Il malware e il tipo di campagna suggeriscono, secondo gli analisti, che l’attacco sia partito proprio dalla autoproclamatasi Repubblica popolare di Lugansk. L’oblast’, formalmente Ucraina, ha dichiarato unilateralmente la sua indipendenza nel 2014 con il sostegno di Mosca. La campagna di quest’anno mostra che il gruppo di hacker accusato dell’offensiva si sarebbe potenziato notevolmente, specialmente per quanto riguarda le tattiche adoperate.

Uno dei file più dannosi, ad esempio, è stato camuffato come file Lnk eseguibile, e può sfruttare app legittime per la gestione della configurazione di Microsoft Windows per scaricare malware. Ciò suggerisce che i pirati informatici volevano passare inosservati, dal momento che gli hack di PowerShell sono integrati in un processo attendibile che il software antivirus solitamente non rileva. Le precedenti campagne di questo gruppo, rileva il report di FireEye, sono state meno sofisticate e hanno sfruttato solo file eseguibili o autoestraenti.

Nel tentativo di ingannare i funzionari governativi ucraini, gli aggressori avrebbero tentato di impersonare Amtrac, un produttore di difesa britannico. Eppure, gli hacker hanno commesso un errore, tentando di mascherare il file .Lnk come Pdf, ma parallelamente rappresentandolo con un’icona di Microsoft Word. Anche se non è chiaro in questo momento se gli attori abbiano avuto o meno successo, quel che è evidente secondo gli esperti è che ci sarebbe stata una netta concentrazione delle attività provenienti da questo gruppo contro l’Ucraina, il che avrebbe al tempo permesso al collettivo di specializzarsi e di migliorare i propri attacchi.

L’Ucraina ha subito diverse campagne provenienti da Lugansk, anche se al momento non ci sono evidenze che riguardano un eventuale collegamento diretto con Mosca. Ciò che rende questo attacco particolarmente importante (e che concentra i sospetti sulla Russia) è però il fatto che sia poco verosimile che un’offensiva così significativa possa provenire da una realtà così piccola e poco organizzata a livello informatico.

Fonte: Cyber Affairs

Foto www.slavorum.org/