Sommario
La sicurezza informatica e la guerra cibernetica tra Russia e Ucraina sono al centro dell’attenzione internazionale con due eventi significativi: le attività di hacking condotte dal gruppo APT29, affiliato al servizio di intelligence russo SVR, che prendono di mira i server Zimbra e TeamCity, e l’arresto in Ucraina di un operatore VPN che consentiva l’accesso non autorizzato al Runet. Questi casi evidenziano la complessità della lotta contro le minacce informatiche, in un contesto di crescente tensione geopolitica e cybercriminalità.
Gli attacchi di APT29 contro server Zimbra e TeamCity
Le agenzie di sicurezza statunitensi e britanniche, tra cui la NSA, l’FBI e il NCSC del Regno Unito, hanno emesso un avviso congiunto riguardo a un’ondata di attacchi condotti dal gruppo di hacker APT29, noto anche come Cozy Bear o Midnight Blizzard. Questo gruppo, legato al servizio di intelligence russo SVR, è specializzato in operazioni di cyber-spionaggio e ha preso di mira numerosi server Zimbra e TeamCity non aggiornati, sfruttando vulnerabilità note come CVE-2022-27924 e CVE-2023-42793.
- Sfruttamento delle vulnerabilità: La vulnerabilità CVE-2022-27924 consente agli hacker di sottrarre credenziali di account email da istanze di Zimbra Collaboration non aggiornate, mentre CVE-2023-42793 è stata sfruttata per ottenere accesso iniziale ai sistemi TeamCity, facilitando attacchi alla supply chain. Queste falle sono state utilizzate anche da gruppi di ransomware e hacker nordcoreani, il che evidenzia la gravità delle minacce.
- Obiettivi globali: L’attività di APT29 si estende a livello globale, colpendo organizzazioni governative e private in diversi settori. Gli esperti di sicurezza hanno avvertito che gli attacchi potrebbero coinvolgere ulteriori vulnerabilità per ottenere l’esecuzione di codice remoto e l’escalation dei privilegi sui sistemi target. L’NSA ha sottolineato l’importanza di aggiornare i software e applicare le patch di sicurezza per prevenire intrusioni nei sistemi.
APT29 non è nuovo a operazioni di alto profilo. Già in passato, il gruppo è stato coinvolto nell’attacco alla supply chain di SolarWinds, che ha compromesso diverse agenzie federali degli Stati Uniti. Le recenti attività confermano l’interesse di APT29 nel condurre attacchi mirati contro infrastrutture critiche, sfruttando vulnerabilità e falle di sicurezza non risolte.
L’arresto in Ucraina di un operatore VPN illegale per accesso al Runet
Mentre le agenzie di sicurezza di Stati Uniti e Regno Unito affrontano le minacce di APT29, le autorità ucraine hanno arrestato un cittadino di 28 anni che gestiva un servizio VPN illegale. Questo servizio permetteva agli utenti di accedere al Runet, la parte dell’internet dominata dai domini russi, aggirando le restrizioni imposte dall’Ucraina a seguito della guerra con la Russia.
Il contesto del Runet e le restrizioni ucraine: Il Runet comprende piattaforme online russe come social media, motori di ricerca e siti governativi, accessibili solo all’interno del territorio russo. Per limitare l’influenza russa e rispettare le sanzioni del Consiglio di Sicurezza e Difesa Nazionale dell’Ucraina, il Paese ha bloccato l’accesso a questi siti. Tuttavia, il servizio VPN illegale consentiva a utenti russi nelle aree occupate e simpatizzanti in Ucraina di eludere i blocchi.
Operazione e conseguenze legali: L’operatore VPN, autodidatta e residente a Khmelnytskyi, aveva allestito un server autonomo nella propria abitazione e affittato ulteriori server in Germania, Francia, Paesi Bassi e Russia per gestire il traffico dati. Il servizio, pubblicizzato su Telegram, dava accesso a oltre 48 milioni di indirizzi IP russi e facilitava un traffico di oltre 100 gigabyte al giorno. Le autorità ucraine hanno sequestrato computer, telefoni e attrezzature, avviando indagini per identificare eventuali complici e collaboratori russi.
Questo caso ha sollevato preoccupazioni sul possibile coinvolgimento dell’intelligence russa, che potrebbe aver avuto accesso ai dati degli utenti del servizio VPN. Il gestore rischia una pena fino a 15 anni di reclusione per la violazione della legge ucraina sulla sicurezza informatica.
Cyber minacce globali e risposte nazionali
Le attività di hacking di APT29 e l’arresto del gestore VPN in Ucraina sottolineano la complessità delle minacce cibernetiche nel contesto geopolitico attuale. Da un lato, gruppi come APT29 sfruttano vulnerabilità per condurre operazioni di spionaggio su scala globale, mentre dall’altro, la diffusione di servizi VPN illegali evidenzia la difficoltà di mantenere il controllo sui flussi di informazioni tra nazioni in conflitto.
La cooperazione internazionale e il rafforzamento delle misure di sicurezza restano fondamentali per mitigare queste minacce. La capacità di monitorare e reagire rapidamente a nuove vulnerabilità e di neutralizzare reti clandestine come quella del gestore VPN dimostrano che la lotta contro il cybercrimine richiede uno sforzo costante e coordinato.
