di Carola Frediani da Guerre di Rete

Nella notte tra giovedì e venerdì una quindicina di siti governativi ucraini sono finiti offline a causa di un attacco informatico. In alcuni casi, come per il sito del ministero degli Esteri, c’è stato un defacciamento (deface): i contenuti della home sono stati sostituiti da un messaggio minaccioso in ucraino, russo e polacco. “Ucraini! Tutte le vostre informazioni sono diventate pubbliche; abbiate paura e preparatevi al peggio.

Per il passato, il presente e il futuro” diceva una parte del testo. Malgrado alcuni riferimenti alla seconda guerra mondiale e a vecchie tensioni con i polacchi (che sembrano essere piazzati lì apposta), il tempismo di questa azione non passa inosservato: erano appena falliti i negoziati tra Usa, Nato e Russia proprio sul tema Ucraina (e sul suo eventuale ingresso nella Nato, fortemente osteggiato da Mosca), mentre centomila soldati russi sono ammassati vicino al confine.

Secondo una fonte della giornalista Kim Zetter tutti i siti violati avrebbero utilizzato lo stesso sistema di content management, October, e gli attaccanti avrebbero sfruttato una sua vulnerabilità. Ma non sarebbero stati cancellati database, e al momento l’attacco sembrerebbe essersi concretizzato in defacement e interruzioni del servizio. Da notare che nel mentre Microsoft ha segnalato la diffusione di un malware “distruttivo” (vuol dire un wiper, distruttivo nel senso dei dati) che starebbe prendendo di mira organizzazioni ucraine.

Un laboratorio internazionale di cyberwarfare

Come ho scritto su Twitter, questo genere di attacco va inquadrato nella cyberwarfare di bassa intensità che va avanti da anni in Ucraina, tanto da renderla un laboratorio suo malgrado. Il Paese è stato teatro di un primo cyberattacco ad aziende di distribuzione dell’energia nel dicembre 2015, quando 230mila persone rimasero senza elettricità per alcune ore nella regione di Ivano-Frankivsk.

Esattamente un anno dopo, nel Natale 2016, ci fu un secondo episodio che causò un’ora di blackout in una parte di Kiev. Gli esperti considerano questi attacchi i primi casi noti/confermati di blackout causati da cyberattacchi.

Ma anche degli esperimenti, delle prove di maggiori capacità. Nel giugno 2017 è la volta di NotPetya, il malware/wiper nato proprio in Ucraina e poi propagatosi in molti Paesi. Gli attaccanti avevano compromesso un software per la contabilità molto usato nel Paese.

Che è rimasto il più flagellato dall’infezione ovviamente. Negli ultimi anni gli Usa e l’Ue hanno mandato soldi e training in Ucraina per rafforzare la sua cybersicurezza, la cyber-resilienza. Milioni di dollari sono arrivati solo da USAID. Dunque qualsiasi cosa succeda in Ucraina, si inserisce in questo quadro complesso e multilaterale

I russi arrestano la gang ransomware REvil

E caso vuole che proprio in questi giorni, anzi, nello stesso giorno, i servizi segreti russi – l’FSB – abbiano arrestato diverse persone sospettate di far parte della gang ransomware REvil, quella che aveva fatto davvero arrabbiare gli americani (a causa di attacchi molto pesanti, come quello al processore di carni JBS e al fornitore IT Kaseya).

Gli agenti russi hanno perquisito 25 abitazioni di 14 sospettati tra Mosca, San Pietroburgo e altre città. E hanno sequestrato più di 426 milioni di rubli, 600mila dollari e 500mila euro in cash, wallet di criptovalute, computer e una ventina di auto di lusso (The Record).

Hanno anche diffuso il video dell’operazione. Che sarebbe stata condotta su richiesta delle autorità americane, le quali avrebbero ricevuto notifica degli arresti, almeno secondo quanto comunicato dalla stessa FSB sul suo sito.
Gli esperti di diplomazia, trattative e scacchi potranno deliziarsi nell’interpretazione di tutti questi ultimi eventi.

Fonte:  Guerre di Rete

Le valutazioni di Mandiant

Per John Hultquist, VP of intelligence analysis di Mandiant, azienda statunitense specializzata nella difesa e risposta ai cyber attacchi, “gli attacchi defacement di massa ai siti web del governo ucraino sono coerenti con gli incidenti che abbiamo già notato in passato, quando le tensioni erano in crescita nella regione.

Già durante l’invasione della Georgia nel 2008 avevamo rilevato un attacco defacement al Ministero degli Affari Esteri che metteva a paragone il presidente georgiano a Hitler. Recentemente, nel 2019, Sandworm, l’unità GRU 74455, ha effettuato attacchi defacement di massa in Georgia.

Questa attività potrebbe essere il lavoro svolto da parte di personale governativo o aggressori sponsorizzati da un governo oppure da elementi della società civile che reagiscono in modo indipendente.

Storicamente, la maggior parte di queste attività di defacement sono state realizzate sia da hacker, che con metodi poco sofisticati volevano divulgare un messaggio patriottico, ma anche da aggressori molto esperti sponsorizzati da un governo.

Anche se un incidente che colpisce diversi obiettivi contemporaneamente può sembrare a prima vista un’operazione complessa e avanzata, potrebbe essere il risultato dell’accesso a un singolo sistema di gestione dei contenuti. È importante non sopravvalutare la capacità necessaria per portare a termine questo attacco.

Con la crescita delle tensioni possiamo aspettarci un’attività informatica più aggressiva in Ucraina e potenzialmente anche in altri Paesi. Questa attività può variare da defacement e DDOS ad attacchi distruttivi che prendono di mira le infrastrutture critiche. Le organizzazioni, per questo motivo, devono iniziare ora a prepararsi.”

Fonte: comunicato Mandiant

Foto: Prosyscom