Spionaggio russo: scoperta una campagna attiva dal 2022

La CISA ha pubblicato un advisory di sicurezza dove descrive le attività di un gruppo cyber filo-russo che, a partire dal 2022, ha preso di mira compagnie tecnologiche e aziende del settore della logistica con una lunga e complessa campagna spionaggio.

L’obiettivo del gruppo non è soltanto di seguire le rotte degli aiuti diretti all’Ucraina, ma anche di causare interruzioni a queste attività, mettendo a rischio gli sforzi dei paesi europei e degli Stati Uniti.

Dietro la campagna c’è il gruppo APT28, noto anche come Fancy Bear, Forest Blizzard e Blue Delta, legato a un’unità militare russa. Le attività di spionaggio del gruppo russo hanno preso di mira numerose entità e organizzazioni internazionali dei settori della difesa, dei trasporti, marittimo, della gestione del traffico aereo e dei servizi IT. Tra i Paesi colpiti figura anche l’Italia.

Le attività di APT28 spiccano sia per complessità che per eterogeneità. Per l’accesso iniziale la cybergang ha usato numerose tecniche, tra le quali il brute force, lo spearphishing, spesso con annessa distribuzione di malware, e ha sfruttato le vulnerabilità di Outlook, Roundcube, WinRAR, delle VPN aziendali e di altre infrastrutture esposte.

Dopo la compromissione iniziale dei sistemi, gli attaccanti hanno sfruttato la loro posizione per individuare nuovi obiettivi, cercando in particolare i dipartimenti di cybersecurity delle organizzazioni e i singoli responsabili dietro le operazioni di trasporto. Per muoversi lateralmente, il gruppo ha usato tool quali Impacket e PsExec; per l’esfiltrazione dei dati, la scelta è ricaduta su Certipy e ADExplorer, fra gli altri.

Le informazioni raccolte dagli attaccanti contengono dettagli su mittenti e destinatari delle consegne, numeri identificativi di aerei, treni o navi, luogo di partenza e destinazione, identificativi dei container, percorsi e contenuto delle spedizioni. Il gruppo ha inoltre distribuito diverse varianti di malware noti, tra le quali le backdoor Headlace e Masepie.

Il gruppo ha inoltre compromesso diverse telecamere connesse situate lungo i confini ucraini, nelle stazioni militari e nelle stazioni ferroviarie per monitorare e tracciare tutti gli spostamenti e le consegne da parte degli alleati del Paese. In alcuni casi gli attaccanti si sono serviti anche delle telecamere per il monitoraggio del traffico cittadino.

L’advisory della CISA, rilasciato in collaborazione con organizzazioni quali l’FBI, l’NSA, l’ANSSI (l’agenzia per la cybersecurity francese), l’MIVD (il servizio di intelligence e sicurezza olandese) e il CCCS (Canadian Center for Cyber Security), include una serie di indicazioni per mitigare i rischi degli attacchi del gruppo, comprese quelle specifiche per le telecamere, e gli indicatori di compromissione.