🛡️ Executive Summary
- Servizi d’intelligence russi conducono campagne di phishing via SMS contro account di messaggistica appartenenti a funzionari governativi, militari e attivisti.
- Gli attacchi sfruttano falsi messaggi del supporto tecnico per sottrarre credenziali e ottenere accesso a comunicazioni sensibili di natura militare, politica ed economica.
- SBU e FBI raccomandano autenticazione a due fattori, controllo delle sessioni attive e rigorose pratiche di ciberigiene per ridurre il rischio di compromissione.
La SBU ucraina e l’FBI statunitense hanno reso pubblici i risultati di un’indagine congiunta che documenta una vasta campagna di cyberspionaggio attribuita ai servizi di intelligence russi. L’operazione prende di mira gli account di messaggistica utilizzati da funzionari governativi, personale militare, politici, giornalisti e attivisti in Ucraina, Europa e Stati Uniti, con l’obiettivo di ottenere informazioni sensibili attraverso sofisticate tecniche di phishing via SMS. Gli aggressori non cercano di compromettere direttamente le piattaforme di messaggistica, ma puntano sugli utenti sfruttando comunicazioni fraudolente che simulano messaggi provenienti dall’assistenza ufficiale dei servizi utilizzati. Secondo le autorità, questa strategia consente di raccogliere dati militari, politici ed economici di elevato valore strategico, confermando come le applicazioni di messaggistica siano ormai uno degli obiettivi principali delle moderne operazioni di intelligence.
Cosa leggere
L’indagine congiunta ricostruisce una campagna di lunga durata
Gli esperti della Security Service of Ukraine (SBU) e gli investigatori dell’FBI hanno collaborato per analizzare numerosi tentativi di compromissione registrati negli ultimi mesi, individuando un modello operativo ricorrente riconducibile ai servizi di intelligence russi e ai gruppi hacker a essi collegati. L’indagine mostra come gli attacchi vengano condotti in maniera continuativa e coordinata, con l’obiettivo di ottenere accesso alle conversazioni private delle vittime e raccogliere informazioni strategiche utili alle attività di spionaggio. I bersagli comprendono non soltanto rappresentanti delle istituzioni e personale militare, ma anche cittadini comuni, attivisti e collaboratori delle principali figure istituzionali. Questa estensione degli obiettivi permette agli aggressori di acquisire informazioni indirette attraverso contatti personali, familiari e professionali, ampliando sensibilmente il valore dell’intelligence raccolta.
Gli hacker utilizzano SMS che imitano il supporto ufficiale
La tecnica di attacco descritta dalle autorità si basa principalmente sull’invio di SMS che simulano comunicazioni provenienti dal servizio di assistenza delle piattaforme di messaggistica. I messaggi invitano gli utenti a confermare le proprie credenziali, inserire password, codici di verifica o altri dati di autenticazione con il pretesto di risolvere presunti problemi di sicurezza o aggiornamenti dell’account. Per aumentare l’efficacia della campagna, gli aggressori inviano frequentemente gli SMS nelle prime ore del mattino, sfruttando la maggiore probabilità che le vittime reagiscano automaticamente senza analizzare con attenzione il contenuto ricevuto. Le comunicazioni vengono inoltre costruite per apparire come notifiche generate da bot ufficiali, aumentando il livello di credibilità e riducendo il rischio che vengano immediatamente riconosciute come tentativi di phishing. Una volta ottenute le credenziali, gli operatori possono accedere agli account compromessi, consultare le conversazioni archiviate e mantenere la persistenza per lunghi periodi.
Le conversazioni rappresentano un patrimonio di intelligence
L’accesso agli account di messaggistica permette ai servizi russi di raccogliere un’ampia gamma di informazioni di interesse strategico. Le comunicazioni militari possono contenere dettagli relativi a pianificazione operativa, coordinamento delle unità e attività sul campo, mentre le conversazioni tra funzionari governativi e rappresentanti politici possono offrire indicazioni sulle strategie diplomatiche, sulle trattative internazionali e sulle decisioni istituzionali. Anche le informazioni economiche costituiscono un obiettivo rilevante, poiché documenti, contratti, dati finanziari e comunicazioni commerciali possono contribuire alla costruzione di un quadro dettagliato delle attività dei governi e delle organizzazioni coinvolte. Parallelamente, il furto dei dati personali consente agli aggressori di elaborare profili completi delle vittime, successivamente utilizzabili per campagne di social engineering, tentativi di ricatto o ulteriori operazioni di compromissione mirata.
I bersagli comprendono anche account personali
Uno degli aspetti più significativi emersi dall’indagine riguarda la scelta degli obiettivi. Le operazioni non si limitano infatti agli account istituzionali utilizzati nell’ambito lavorativo, ma coinvolgono anche profili personali appartenenti a cittadini ucraini e collaboratori delle figure considerate di maggiore interesse. Attraverso questo approccio gli aggressori cercano di ampliare il numero delle fonti informative disponibili, sfruttando le relazioni personali delle vittime principali. Conversazioni familiari, contatti con amici e comunicazioni informali possono infatti rivelare dettagli utili a ricostruire abitudini, spostamenti, relazioni professionali e altri elementi preziosi per le attività di intelligence. Questa strategia rende la campagna molto più estesa rispetto ai tradizionali attacchi rivolti esclusivamente alle reti governative e conferma la crescente importanza attribuita alle informazioni raccolte attraverso i canali di comunicazione quotidiani.
SBU e FBI indicano le principali misure di protezione
Le autorità raccomandano agli utenti, in particolare a coloro che gestiscono informazioni riservate, di adottare rigorose pratiche di ciberigiene. Tra le misure considerate più efficaci figura il controllo periodico delle sessioni attive all’interno delle applicazioni di messaggistica, operazione che permette di individuare eventuali accessi non autorizzati e interromperli tempestivamente. La SBU invita inoltre ad abilitare l’autenticazione a due fattori (2FA) utilizzando un PIN robusto composto da lettere, numeri e caratteri speciali, così da rendere più difficile la compromissione dell’account anche in caso di furto della password principale. Le autorità ricordano inoltre che nessun servizio di messaggistica legittimo richiede attraverso SMS o chat la comunicazione di password, codici di conferma, chiavi di recupero o altri elementi di autenticazione sensibili.
Link, allegati e codici QR rappresentano ulteriori vettori di attacco
Oltre ai messaggi di phishing, la SBU richiama l’attenzione anche su altri strumenti frequentemente utilizzati nelle campagne di compromissione. I collegamenti ricevuti tramite SMS o applicazioni di messaggistica non dovrebbero essere aperti senza verificarne attentamente la provenienza, anche quando sembrano inviati da persone conosciute, poiché un account già compromesso può essere utilizzato automaticamente per diffondere ulteriori messaggi malevoli. Analoga prudenza deve essere adottata nei confronti degli allegati, soprattutto quando vengono ricevuti attraverso dispositivi desktop o da interlocutori inattesi. Un rischio particolare riguarda inoltre i codici QR inviati da utenti sconosciuti o da presunti bot di supporto. La loro scansione può consentire agli aggressori di associare il proprio dispositivo all’account della vittima, ottenendo così accesso alle conversazioni senza dover conoscere direttamente le credenziali di autenticazione.
Le piattaforme di messaggistica restano un obiettivo prioritario dello spionaggio
La campagna documentata da SBU e FBI conferma che le applicazioni di messaggistica costituiscono oggi uno dei principali obiettivi delle operazioni di cyberspionaggio statale. La rapidità delle comunicazioni, la presenza di informazioni sensibili e il crescente utilizzo di questi strumenti anche in ambito istituzionale li rendono particolarmente appetibili per le attività di intelligence. Le autorità ucraine invitano gli utenti a segnalare tempestivamente eventuali messaggi sospetti al Centro Situazionale per la Sicurezza Cibernetica attraverso l’indirizzo [email protected], contribuendo così al monitoraggio delle campagne in corso e all’identificazione di nuovi schemi operativi. In un contesto caratterizzato da minacce persistenti e altamente mirate, il rispetto delle buone pratiche di sicurezza, l’adozione dell’autenticazione multifattore e una costante attenzione verso comunicazioni inattese rappresentano ancora gli strumenti più efficaci per limitare il successo delle operazioni di intelligence condotte attraverso il phishing.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
