🛡️ Executive Summary
- Il Dipartimento di Stato USA offre fino a 9,17 milioni di euro per identificare membri del gruppo UNC5792, collegato all’FSB, responsabile di campagne di phishing contro Signal e WhatsApp.
- Gli attacchi non compromettono la crittografia end-to-end ma sfruttano tecniche di ingegneria sociale, collegamento di dispositivi e furto delle chiavi di backup per ottenere accesso agli account.
- Le autorità invitano a segnalare infrastrutture, identità, domini, wallet di criptovalute e reti finanziarie riconducibili agli operatori attraverso il programma Rewards for Justice.
Gli Stati Uniti hanno annunciato una delle ricompense più elevate mai offerte nell’ambito della lotta contro il cyber spionaggio sponsorizzato da Stati esteri. Attraverso il programma Rewards for Justice, il Dipartimento di Stato mette a disposizione fino a 10 milioni di dollari, equivalenti a circa 9,17 milioni di euro, per ottenere informazioni che consentano di identificare o localizzare i membri del gruppo UNC5792, ritenuto collegato ai servizi di sicurezza russi. L’iniziativa arriva dopo mesi di indagini condotte insieme a FBI e CISA, che hanno attribuito al gruppo una vasta campagna di phishing contro utenti di Signal e WhatsApp, in particolare funzionari governativi statunitensi, personale militare, diplomatici e partner internazionali. L’obiettivo delle operazioni non è quello di violare la crittografia delle applicazioni, bensì sfruttare l’ingegneria sociale per ottenere l’accesso diretto agli account delle vittime.
Cosa leggere
Rewards for Justice amplia la caccia agli hacker sponsorizzati dagli Stati
Il programma Rewards for Justice, gestito dal Dipartimento di Stato, è stato creato per raccogliere informazioni utili contro individui e organizzazioni coinvolti in attività ostili agli interessi degli Stati Uniti. Negli ultimi anni l’iniziativa è stata progressivamente estesa anche alle operazioni di cyber spionaggio condotte da gruppi legati a governi stranieri. In questo caso la ricompensa riguarda persone che operano sotto la direzione o il controllo di uno Stato estero e che partecipano ad attività informatiche considerate una violazione del Computer Fraud and Abuse Act. Oltre al gruppo UNC5792, l’annuncio cita anche UNC4221, altra organizzazione collegata ai servizi di intelligence militare russi e coinvolta in campagne analoghe. Le autorità sottolineano che la collaborazione dei cittadini può risultare decisiva per identificare operatori, infrastrutture e reti di supporto che permettono a questi gruppi di operare su scala internazionale.
Chi è UNC5792 e perché è considerato una minaccia
Secondo le autorità statunitensi, UNC5792 opera per conto delle Guardie di Frontiera del Servizio Federale di Sicurezza russo (FSB). Il gruppo sarebbe specializzato in operazioni di cyber spionaggio mirate contro personale governativo, diplomatici e organizzazioni considerate di interesse strategico per Mosca. Le attività attribuite a UNC5792 si concentrano soprattutto sul furto di comunicazioni riservate attraverso applicazioni di messaggistica cifrata, senza tentare di compromettere direttamente i protocolli di sicurezza implementati da Signal o WhatsApp. L’obiettivo è ottenere informazioni sensibili sfruttando il comportamento degli utenti, piuttosto che individuare vulnerabilità tecniche nelle piattaforme.
Il phishing prende di mira Signal e WhatsApp
Le campagne osservate da FBI e CISA dimostrano come anche applicazioni considerate tra le più sicure possano essere sfruttate indirettamente attraverso sofisticate tecniche di ingegneria sociale. Gli operatori di UNC5792 contattano le vittime fingendosi membri del supporto tecnico di Signal oppure rappresentanti di servizi ufficiali, comunicando la necessità di completare procedure urgenti di verifica dell’account. In alcuni casi convincono gli utenti a condividere la chiave di backup delle conversazioni, mentre in altri modificano pagine di invito legittime ai gruppi sostituendole con URL controllati dagli attaccanti. Attraverso queste tecniche gli hacker riescono a collegare un proprio dispositivo all’account della vittima utilizzando funzionalità perfettamente legittime offerte dall’applicazione. Una volta ottenuto l’accesso, possono leggere conversazioni, consultare rubriche, partecipare ai gruppi e utilizzare l’account compromesso per diffondere nuovi messaggi di phishing verso altri contatti.
La crittografia non viene violata
Uno degli elementi più importanti evidenziati dalle autorità riguarda il ruolo della crittografia end-to-end. Né Signal né WhatsApp risultano vulnerabili dal punto di vista crittografico. Gli attacchi non compromettono gli algoritmi di cifratura né sfruttano falle nei protocolli di sicurezza. L’intera operazione si basa esclusivamente sulla manipolazione psicologica delle vittime, inducendole ad autorizzare inconsapevolmente l’accesso ai propri account. Questo conferma come il fattore umano continui a rappresentare uno degli elementi più critici nella sicurezza informatica, anche quando vengono utilizzate piattaforme progettate per garantire il massimo livello di protezione delle comunicazioni.
I bersagli sono governi, NATO e organizzazioni vicine all’Ucraina
Le campagne attribuite a UNC5792 mostrano una selezione estremamente precisa degli obiettivi. Tra le principali vittime figurano funzionari del governo statunitense, diplomatici, personale del Dipartimento della Difesa, membri della comunità di intelligence e rappresentanti delle forze armate. Gli attacchi si estendono anche ai funzionari dei Paesi membri della NATO, ai partner internazionali della difesa, ai giornalisti che seguono Russia e Ucraina, ai ricercatori universitari specializzati negli studi strategici e alle organizzazioni non governative impegnate nel sostegno a Kiev. L’accesso a questi account permette agli operatori di raccogliere informazioni sulle reti di contatti, monitorare conversazioni riservate e ampliare progressivamente le proprie attività sfruttando la fiducia esistente tra le persone coinvolte.
Le informazioni richieste dagli Stati Uniti
La ricompensa non riguarda soltanto l’identificazione diretta degli operatori. Il programma Rewards for Justice invita infatti a fornire qualsiasi elemento utile a ricostruire l’infrastruttura del gruppo. Le autorità cercano nomi, ubicazioni, fotografie, identità digitali, collaboratori e contractor che operano per conto dei servizi russi. Sono considerate particolarmente preziose anche informazioni relative ai domini Internet utilizzati durante le campagne, ai server di comando e controllo, ai provider di hosting, agli strumenti software impiegati nelle operazioni e alle piattaforme utilizzate per la registrazione delle infrastrutture. Un’altra categoria riguarda il tracciamento finanziario: wallet di criptovalute, conti bancari, pagamenti per servizi cloud, registrazioni di domini e flussi economici che possano contribuire a ricostruire la rete logistica del gruppo.
L’advisory aggiornato di FBI e CISA
L’annuncio del Dipartimento di Stato segue l’aggiornamento dell’advisory pubblicato da FBI e CISA nel marzo 2026, documento che descrive in dettaglio le tecniche utilizzate da UNC5792 e UNC4221. Le due agenzie hanno osservato un utilizzo sistematico dell’ingegneria sociale combinata con funzionalità legittime delle piattaforme di messaggistica, ribadendo che nessuna vulnerabilità nota è stata individuata nei meccanismi di cifratura di Signal o WhatsApp. Le raccomandazioni rivolte agli utenti comprendono la verifica dell’identità di chi richiede codici di autenticazione, la massima attenzione verso link ricevuti tramite messaggi e il controllo periodico dei dispositivi collegati agli account.
Una minaccia che conferma il valore dell’ingegneria sociale
Le operazioni attribuite ai gruppi collegati all’intelligence russa dimostrano ancora una volta come gli attacchi più efficaci non richiedano necessariamente exploit sofisticati o vulnerabilità zero-day. Convincere un utente ad autorizzare volontariamente l’accesso al proprio account può risultare molto più semplice che violare sistemi di crittografia progettati per resistere anche agli attacchi più avanzati. Per questo motivo le autorità statunitensi continuano a investire sia nella condivisione di indicatori di compromissione sia nel coinvolgimento diretto della comunità internazionale attraverso programmi come Rewards for Justice, nella convinzione che il contributo di ricercatori, aziende e cittadini possa accelerare l’identificazione degli operatori responsabili di alcune delle più importanti campagne di cyber spionaggio degli ultimi anni.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
