Hacker russi molto attivi: Fancy Bear attacca i fornitori di armi ucraini

I produttori di armi sovietici all'estero costituiscono la spina dorsale della difesa ucraina. Ma queste aziende in Bulgaria, Romania e nella stessa Ucraina sono apparentemente facili prede per Fancy Bear, un famigerato team di hacker del Cremlino.

Il famigerato gruppo di hacker russi Fancy Bear ha preso di mira le aziende produttrici di armi che forniscono armi all'Ucraina. Questo è il risultato di uno studio recente condotto dall'azienda di sicurezza tedesca Eset di Jena. Successivamente, gli attacchi furono diretti principalmente contro i produttori di tecnologia bellica sovietica in Bulgaria, Romania e Ucraina, che avevano svolto un ruolo chiave nella difesa contro l'invasione russa. Anche le fabbriche di armamenti in Africa e Sud America sono state colpite.

Il gruppo di hacker Fancy Bear è anche conosciuto come Sednit o APT28. Si ritiene che sia responsabile anche degli attacchi al Bundestag tedesco nel 2015, alla politica statunitense Hillary Clinton un anno dopo e alla sede centrale del partito SPD nel 2023. Secondo gli esperti, il gruppo fa parte di una strategia più ampia dei servizi segreti russi volta a utilizzare gli attacchi informatici come mezzo di influenza politica e destabilizzazione. Oltre allo spionaggio, l'attenzione è rivolta anche alle campagne di disinformazione mirate contro le democrazie occidentali.

Nell'attuale campagna di spionaggio denominata "Operazione RoundPress", gli hacker hanno sfruttato le vulnerabilità presenti nei software di posta elettronica più diffusi, tra cui Roundcube, Zimbra, Horde e MDaemon. Diverse vulnerabilità avrebbero potuto essere eliminate mediante una buona manutenzione del software. In un caso, tuttavia, le aziende colpite si sono trovate praticamente impotenti, perché gli aggressori sono riusciti a sfruttare una vulnerabilità di sicurezza di MDaemon precedentemente sconosciuta, che inizialmente non era possibile risolvere.

Secondo i ricercatori di Eset, gli attacchi venivano solitamente lanciati tramite e-mail manipolate, camuffate da resoconti giornalistici. I mittenti sembrano essere fonti attendibili come il Kyiv Post o il portale di notizie bulgaro News.bg. Non appena si apre l'e-mail nel browser, si avvia un codice dannoso nascosto. I filtri antispam sono stati aggirati con successo.

Analizzando gli attacchi, gli esperti di Jena sono riusciti a identificare il malware "SpyPress.MDAEMON". Il programma hacker non è solo in grado di leggere i dati di accesso e tracciare le e-mail. Potrebbe addirittura aggirare l'autenticazione a due fattori. L'autenticazione a due fattori (in breve 2FA) è una misura di sicurezza aggiuntiva quando si accede ad account online o si accede a dati sensibili. Garantisce che per ottenere l'accesso non sia sufficiente una sola password, ma che sia necessaria anche una seconda verifica. Tuttavia, in diversi casi gli hacker di Fancy Bear sono riusciti ad aggirare la protezione 2FA e ad ottenere l'accesso permanente alle caselle di posta utilizzando le cosiddette password delle applicazioni.

"Molte aziende utilizzano server di posta elettronica obsoleti", ha affermato Matthieu Faou, ricercatore di Eset. "La semplice visualizzazione di un'e-mail in un browser può essere sufficiente per eseguire codice dannoso senza che il destinatario clicchi attivamente su nulla."