Hacker russi ancora in azione: hanno rubato documenti in tutto il mondo

Dall’inizio della guerra i russi hanno messo in campo i loro migliori hacker per rubare informazioni vitali all’Ucraina

La guerra tra Russia e Ucraina imperversa da più di un anno. Ovviamente, non si combatte solo con le armi, ma le forze in campo hanno, sin dall’inizio, utilizzato le più moderne tecnologie per avvantaggiarsi nello scontro. Da droni radiocomandati a torrette mortali controllate da console.

Naturalmente, la guerra si è spostata subito anche sul web: nell’era digitale riuscire a violare la sicurezza informatica consente di ottenere informazioni vitali nel conflitto.

Hacker russi in azione

Secondo i ricercatori, gli hacker che lavorano per il Servizio di Sicurezza Federale russo hanno messo in atto diversi attacchi informatici che hanno utilizzato un malware basato su USB per rubare grandi quantità di dati da obiettivi ucraini da utilizzare nell’invasione in corso.

I ricercatori di Symantec, ora di proprietà di Broadcom, hanno scritto in un post di giovedì:

I settori e la natura delle organizzazioni e delle macchine prese di mira potrebbero aver dato agli attaccanti accesso a quantità significative di informazioni sensibili. In alcune organizzazioni vi erano indicazioni che gli aggressori si trovavano sulle macchine dei dipartimenti delle risorse umane delle organizzazioni, il che indica che le informazioni sulle persone che lavorano nelle varie organizzazioni erano una priorità per gli aggressori, tra le altre cose

Il gruppo, che Symantec identifica come Shuckworm e che altri ricercatori chiamano Gamaredon e Armageddon, è attivo dal 2014 ed è stato collegato all’FSB russo, il principale servizio di sicurezza del Paese. Il gruppo si concentra esclusivamente sull’acquisizione di informazioni su obiettivi ucraini. Nel 2020, i ricercatori della società di sicurezza SentinelOne hanno dichiarato che il gruppo di hacker ha “attaccato oltre 5.000 singole entità in tutta l’Ucraina, con particolare attenzione alle aree in cui sono schierate le truppe ucraine”.

Un virus che può far vincere la guerra

A febbraio, Shuckworm ha iniziato a distribuire un nuovo malware e un’infrastruttura di comando e controllo che ha penetrato con successo le difese di diverse organizzazioni ucraine dell’esercito, dei servizi di sicurezza e del governo del Paese. I membri del gruppo sembrano interessati soprattutto a ottenere informazioni militari sensibili che potrebbero essere sfruttate nell’invasione in corso da parte della Russia.

Questa nuova campagna ha debuttato un nuovo malware sotto forma di uno script PowerShell che diffonde Pterodo, una backdoor creata da Shuckworm. Lo script si attiva quando le unità USB infette vengono collegate ai computer interessati. Lo script dannoso si copia prima sul computer bersaglio per creare un file di collegamento con estensione rtf.lnk. I file hanno nomi come video_porn.rtf.lnk, do_not_delete.rtf.lnk e evidence.rtf.lnk. I nomi, per lo più in lingua ucraina, sono un tentativo di invogliare gli obiettivi ad aprire i file per installare Pterodo sui computer.

Lo script continua a enumerare tutte le unità collegate al computer preso di mira e a copiare se stesso su tutte le unità rimovibili collegate, molto probabilmente nella speranza di infettare tutti i dispositivi “air-gapped”, che non sono intenzionalmente collegati a Internet nel tentativo di impedire che vengano violati.

Impossibile da rintracciare

Per coprire le proprie tracce, Shuckworm ha creato decine di varianti e ha rapidamente ruotato gli indirizzi IP e l’infrastruttura che utilizza per il comando e il controllo. Il gruppo utilizza anche servizi legittimi come Telegram e la sua piattaforma di micro-blogging Telegraph per il comando e il controllo, in un altro tentativo di evitare il rilevamento.

Shuckworm utilizza tipicamente e-mail di phishing come vettore iniziale per entrare nei computer degli obiettivi. Le e-mail contengono allegati dannosi che si mascherano da file con estensioni, tra cui .docx, .rar, .sfx, lnk e hta. Le e-mail utilizzano spesso argomenti come conflitti armati, procedimenti penali, lotta al crimine e protezione dei bambini come esca per indurre gli obiettivi ad aprire le e-mail e a cliccare sugli allegati.

Più recentemente, Symantec ha osservato che Shuckworm sfrutta un maggior numero di indirizzi IP nei suoi script PowerShell. Si tratta probabilmente di un tentativo di eludere alcuni metodi di tracciamento impiegati dai ricercatori.

Shuckworm continua inoltre ad aggiornare le tecniche di offuscamento utilizzate nei suoi script PowerShell nel tentativo di evitare il rilevamento, con fino a 25 nuove varianti degli script del gruppo osservate al mese tra gennaio e aprile 2023.