Operation ghost, una nuova ricerca di ESET, mostra che gli hacker russi, noti per aver interferito con le elezioni americane del 2016, hanno continuato a giocare un ruolo attivo in tutto il mondo, sottraendosi negli ultimi anni alla luce dei riflettori.
di Patrick Howell O’Neill
Secondo ESET, un’azienda di sicurezza informatica slovacca, Cozy Bear, il gruppo di hacker legato all’intelligence russa, anche se silente da oltre due anni, è stato attivamente impegnato in una campagna di spionaggio di sei anni che ha preso di mira i ministeri degli affari esteri in almeno tre paesi europei e un’ambasciata di Washington.
Altri due importanti gruppi di hacker russi, con i nomi in codice Fancy Bear e Turla, risultano coinvolti nelle operazioni condotte sui computer violati. Questi gruppi, legati ai militari e alle agenzie di intelligence, sono noti per competere in modo aggressivo tra loro quando inseguono obiettivi di alto valore.
La campagna persistente e meticolosa di Cozy Bear contro una serie di obiettivi politici europei utilizza nuovi malware e tattiche in quella che i ricercatori chiamano Operation Ghost, una campagna che risale al 2013 e che si estende almeno fino a giugno 2019.
Gli hacker, in genere, iniziano il loro attacco con e-mail di spear-phishing, messaggi accuratamente progettati per ingannare gli utenti, inducendoli a cliccare su link “infetti”, scaricando in tal modo software pericoloso che consente a Cozy Bear il controllo di macchine e account chiave. I dettagli su come gli hacker realizzano questo obiettivo mostrano che sono tra i migliori al mondo in quello che fanno.
La campagna, condotta in gran parte durante l’orario di lavoro nel fuso orario di Mosca, ha coinvolto diverse nuove famiglie di malware scoperte durante questa operazione.
Una di queste, conosciuta come FatDuke, è stata creata appositamente da questo gruppo per fornire un accesso backdoor nascosto e silenzioso al computer di una vittima, impersonando il browser del bersaglio fino a dettagli specifici come l’utilizzo dello stesso user-agent del browser installato sul sistema.
I ricercatori ipotizzano che un tipico attacco dell’operazione Ghost potrebbe svolgersi in questo modo: un obiettivo, per esempio un diplomatico europeo, riceve un’e-mail appositamente creata per fargli scaricare un documento infetto. Tale documento conterrebbe malware PolyglotDuke, il cui obiettivo è installare di nascosto altri malware sul computer. Per fare ciò, il malware esamina i messaggi predeterminati su siti popolari come Reddit, che sembrano normali traffico Internet. Viene quindi scaricata un’immagine che utilizza una tattica chiamata steganografia, che modifica abilmente un file di immagine per nascondere i dati codificati, includendo payload aggiuntivi. A questo punto, le foto all’apparenza normali contengono codice pericoloso e quasi invisibile.
In una seconda fase installano la backdoor MiniDuke e infine come terza fase della strategia nel caso degli obiettivi più importanti, passano a FatDuke. Lo schieramento portato a termine di FatDuke, “l’attuale backdoor di punta” usata dai Duchi, significa che hanno vinto la battaglia.
Ciò che è eccezionale di questo gruppo e di questa campagna è il modo in cui l’infrastruttura di rete dell’operazione è stata costruita ex novo per ogni vittima.
“Questo tipo di compartimentazione è generalmente adottato solo dagli hacker più meticolosi”, sostengono i ricercatori di ESET Matthieu Faou, Mathieu Tartare e Thomas Dupuy nel nuova rapporto Operation ghost, “perché impedisce che l’intera operazione venga bruciata quando una singola vittima scopre l’infezione e condivide la relativa rete [indicatori di compromesso] con chi si occupa di sicurezza”.
Cozy Bear è attivo da oltre un decennio.
“La nostra nuova ricerca mostra che anche se un gruppo di spionaggio scompare dal palcoscenico pubblico per molti anni, potrebbe non aver smesso di operare”, hanno scritto i ricercatori. Cozy Bear “è stato in grado di volare sotto il radar per molti anni, raggiungendo obiettivi di alto valore, come prima, e nel silenzio totale”.
Immagine: Il Cremlino Mariano Mantel
(rp)
