Le operazioni cibernetiche russe contro l’Ucraina non si arrestano. Secondo un’indagine condotta dal Threat Hunter Team di Security.com, diverse organizzazioni ucraine sono state prese di mira da intrusioni prolungate e tecniche, riconducibili a Sandworm, uno dei gruppi APT più pericolosi legati all’intelligence militare russa (GRU). Le attività, che includono furti di credenziali, manipolazioni di registro e accessi remoti furtivi, dimostrano un’evoluzione costante delle tattiche di spionaggio e sabotaggio digitale impiegate contro infrastrutture critiche ucraine.
Cosa leggere
Attacchi mirati e persistenza nelle reti
Le intrusioni, durate fino a due mesi, hanno colpito un’azienda di servizi aziendali e un ente governativo locale. In entrambi i casi, gli attaccanti hanno mantenuto una presenza persistente nelle reti compromesse, privilegiando strumenti nativi di Windows e tecniche Living-off-the-Land, cioè l’uso di componenti legittimi del sistema operativo per evitare rilevamenti. A differenza di campagne malware più rumorose, questi attacchi hanno impiegato malware in quantità minima, concentrandosi su tool legittimi come cmd.exe, PowerShell, reg.exe e schtasks, insieme a strumenti rari come rdrleakdiag, utilizzato per effettuare dump completi di memoria senza generare allarmi nei sistemi di sicurezza. Gli investigatori hanno documentato l’uso di una webshell personalizzata denominata Localolive, installata su server pubblici per il controllo remoto dei sistemi infetti. Tale elemento collega l’operazione a un sottogruppo di Sandworm, conosciuto anche come Seashell Blizzard nei rapporti Microsoft, già autore di attacchi distruttivi come AcidRain contro i modem satellitari Viasat e delle interruzioni alla rete elettrica ucraina nel 2015 e 2016.
Cronologia delle intrusioni
L’attacco più lungo, iniziato il 27 giugno 2025 e concluso il 20 agosto, ha mostrato una pianificazione dettagliata. Gli attaccanti hanno installato una prima webshell sul “Computer 1” dell’organizzazione bersaglio, avviando poi una fase di ricognizione interna con comandi come whoami, tasklist e systeminfo.
Hanno inoltre riconfigurato Windows Defender per escludere directory specifiche e creato task schedulati che eseguivano dump di memoria ogni 30 minuti, garantendo un accesso costante alle credenziali archiviate, in particolare quelle contenute nel gestore KeePass. Nei giorni successivi, la campagna si è espansa su altre workstation, con l’installazione di OpenSSH e la modifica delle chiavi di registro per abilitare l’accesso RDP senza autenticazione. Sono stati osservati anche script PowerShell (link.ps1, dotnet-install.ps1) e applicazioni Python (assembler.py), insieme all’uso di winbox64.exe — un tool legittimo di MikroTik — per mantenere il controllo remoto.
Tattiche e strumenti di evasione
L’analisi tecnica rivela una profonda conoscenza delle infrastrutture Windows e un’abilità nell’evitare la rilevazione forense. Gli attaccanti hanno usato strumenti dual-use — software con funzionalità lecite ma sfruttabili in contesti malevoli — per limitare l’impronta digitale delle loro attività.
Le tecniche principali includono la manipolazione del registro di sistema, la creazione di processi programmati con privilegi di sistema e l’installazione di servizi legittimi per nascondere le backdoor. L’uso di rdrleakdiag ha permesso di eseguire dump di memoria completi, estraendo informazioni da processi come KeePass senza attivare alert degli antivirus. Gli esperti hanno inoltre individuato connessioni a un indirizzo IP specifico, 185.145.245.209, e al dominio ciscoheartbeat.com, entrambi associati in passato ad attività di Sandworm e ad altre campagne russe di compromissione di infrastrutture europee.
Impatto e implicazioni geopolitiche
L’obiettivo principale delle operazioni resta il furto di informazioni sensibili e la raccolta di intelligence tecnica. Le credenziali rubate consentono accessi prolungati alle reti e facilitano attacchi futuri di tipo distruttivo o coercitivo. Le indagini mostrano come gli aggressori abbiano abilitato connessioni RDP e SSH persistenti, consentendo controlli remoti anche dopo la chiusura apparente dell’infezione. Le informazioni sottratte includono dati aziendali, file di registro, chiavi di rete e archivi di password critiche. Gli impatti superano la dimensione puramente informatica: la minaccia persistente russa rappresenta una componente chiave del conflitto ibrido in corso contro l’Ucraina, dove le campagne cibernetiche accompagnano le operazioni militari convenzionali. Gli esperti sottolineano come tali intrusioni costituiscano strumenti di guerra informativa e destabilizzazione, con potenziali ricadute anche sulle reti civili e governative degli alleati europei.
Analisi delle operazioni russe
Le evidenze tecniche raccolte dal Threat Hunter Team di Security.com indicano che gli attaccanti hanno adattato le proprie tattiche per massimizzare l’efficacia e minimizzare il rischio di scoperta. Le operazioni mostrano un’evoluzione rispetto alle campagne precedenti di Sandworm, con una maggiore enfasi sull’uso di script Python e PowerShell modulari, sull’installazione di tool legittimi come winbox64 e sull’impiego di framework nativi per la persistenza. La strategia evidenzia un livello di maturità operativa paragonabile alle unità cibernetiche statali, con un focus su spionaggio, sabotaggio e accesso continuo alle infrastrutture critiche ucraine. Le autorità ucraine e i partner internazionali hanno avviato contromisure difensive, includendo l’applicazione di patch tempestive, il monitoraggio dei task schedulati e la verifica delle esclusioni di Windows Defender, spesso manipolate durante le intrusioni. L’analisi degli indicatori di compromissione (IoC), tra cui hash di file e domini sospetti, ha permesso di individuare altre attività correlate in Europa orientale. Le operazioni attribuite a Sandworm confermano la persistenza e l’adattamento delle minacce russe contro il settore pubblico e privato ucraino. Gli attacchi non solo puntano al furto di informazioni ma rafforzano la pressione strategica su Kiev, dimostrando come la cyberwarfare sia ormai parte integrante del conflitto moderno. L’indagine di Security.com contribuisce a delineare un quadro chiaro: la Russia impiega tattiche stealth e tool legittimi per infiltrarsi, restare invisibile e sottrarre dati, trasformando le reti ucraine in campi di battaglia silenziosi ma cruciali.
