Da Fancy Bear a Cozy Bear. Continua la rubrica Guerra Cibernetica sulla potenza di fuoco made in Madre Russia. Nella scorsa puntata si è parlato del gruppo Fancy Bear, identificato con la sigla Apt28, che rappresenta il gruppo militare più anziano nell’ambito della guerra informatica. Oggi si parla di Cozy Bear, classificato dal governo federale degli Stati Uniti come minaccia persistente avanzata APT29 e considerato un gruppo di hacker russi associato a una o più agenzie di intelligence della Russia. A testimonianza di questa ipotesi ci sono testimonianze dei servizi di intelligence americani e olandesi che hanno associato il gruppo allo SRV che si occupa dei servizi esteri per conto di Putin.
Al gruppo sono stati dati vari soprannomi da altre società di sicurezza informatica, tra cui CozyCar, CozyDuke (di F-Secure), Dark Halo, The Dukes (di Volexity), NOBELIUM, Office Monkeys, StellarParticle, UNC2452 e YTTRIO che prendono spunto anche dalla moltitudine di malware sviluppati per effettuare attacchi.
Se le origini dei cugini di Fancy Bear risalgono al 2007 secondo alcune azioni storicamente accertate, sull’APT29 invece non c’è una linea comune. Secondo Kaspersky Lab, i primi campioni del malware MiniDuke, scritto in linguaggio assembly ed attribuito alle azioni militari del gruppo, risalgono al 2008. Symantec ritiene che Cozy Bear abbia compromesso organizzazioni diplomatiche e governi almeno dal 2010. Il malware CozyDuke utilizza una backdoor e un dropper che serve ad installare il file malevolo. Il malware esfiltra i dati in un server di comando e di controllo che consente agli aggressori di poter adattare il codice malevolo all’ambiente. I componenti backdoor del malware di Cozy Bear vengono aggiornati in tempo reale con modifiche alla crittografia ed alla funzionalità dei trojan utilizzati, dando massima priorità alle capacità di anti-rilevamento. La velocità con cui Cozy Bear sviluppa e distribuisce i suoi componenti ricorda il set di strumenti di Fancy Bear, che utilizza anche gli strumenti CHOPSTICK e CORESHELL.
Il set di strumenti malware CozyDuke di Cozy Bear è strutturalmente e funzionalmente simile ai componenti di seconda fase utilizzati nelle prime operazioni Miniduke, Cosmicduke e OnionDuke. Un secondo modulo del malware CozyDuke, Show.dll, sembra essere stato costruito sulla stessa piattaforma di OnionDuke, il che suggerisce che gli autori vi hanno lavorato insieme o addirittura sono le stesse persone. Le campagne e i set di strumenti malware utilizzati sono denominati Dukes, inclusi Cosmicduke, Cozyduke e Miniduke. CozyDuke e sono collegati alle campagne MiniDuke e CosmicDuke, nonché alla campagna di cyberspionaggio OnionDuke. Ciascun gruppo di minacce tiene traccia dei propri obiettivi e utilizza set di strumenti che sono stati probabilmente creati e aggiornati da persone di lingua russa. Dopo l’esposizione del MiniDuke nel 2013, gli aggiornamenti al malware sono stati scritti in C/C++ ed dotandolo di un nuovo offuscatore.
Si sospetta che Cozy Bear sia dietro lo strumento di accesso remoto “HAMMERTOSS” che utilizza siti Web comunemente visitati come Twitter e GitHub per trasmettere i dati dei comandi. Seaduke, invece, è un Trojan altamente configurabile e di basso profilo utilizzato esclusivamente per un piccolo insieme di obiettivi di alto valore. In genere, Seaduke viene installato su sistemi già infettati da CozyDuke, molto più diffuso. Cozy Bear sembra avere progetti in comune con diversi gruppi come nel caso di “Nemesis Gemina” (anno 2013-2014) dove ad essere colpiti sono stati i settori militare, governativo, energetico, diplomatico e delle telecomunicazioni. Secondo più sospetti, che vengono considerati al pari di prove, gli obiettivi degli attori APT29 hanno incluso entità commerciali e organizzazioni governative in Germania, Uzbekistan, Corea del Sud e Stati Uniti, inclusi il Dipartimento di Stato USA e la Casa Bianca nel 2014.
Prima dei gattini, le scimmie
Nel marzo 2014, è stato scoperto che un istituto di ricerca privato con sede a Washington aveva Cozy Duke (Trojan.Cozer) sulla propria rete grazie ad una campagna e-mail che aveva lo scopo di indurre le vittime a fare clic su un video flash di scimmie da ufficio, includendo anche eseguibili dannosi. A luglio il gruppo aveva compromesso anche reti governative e aveva ordinato ai sistemi infettati da CozyDuke di installare Miniduke su una rete compromessa.
Partito Democratico e Repubblicano Statunitense non fanno differenza
Nell’estate del 2014, agenti al servizio dell’intelligence olandese si sono infiltrati in Cozy Bear ed hanno scoperto che stavano prendendo di mira il Partito Democratico degli Stati Uniti, il Dipartimento di Stato e la Casa Bianca. Le loro prove hanno influenzato la decisione dell’FBI di aprire un’indagine.
Come previsto, nel giugno 2016, Cozy Bear è risultato implicato insieme al gruppo di hacker Fancy Bear negli attacchi informatici del Democratic National Committee, l’organo più importante del partito che ha dato i natali a Biden, Obama e Clinton. Sebbene i due gruppi fossero entrambi presenti contemporaneamente nei server del Comitato nazionale democratico, sembravano non essere a conoscenza di essere impegnati nella sottrazione delle stesse password, intralciandosi a vicenda con l’arrivo di Fancy Bear dopo un anno di presidio da parte dei cugini dell’APT29. La metodica di spionaggio a lungo termine e le strumentazioni impiegate hanno stabilito che gli attori provenivano da un’agenzia di intelligence russa separata da quella dei veterani dell’APT28. Nel luglio 2021, anche il Comitato Nazionale Repubblicano è stato violato da Cozy Bear. I funzionari hanno ritenuto che l’attacco sia stato condotto tramite Synnex e che sia avvenuto contestualmente all’attacco ransomware diffuso attraverso la compromissione del software Kaseya VSA.
Spear Phishing, una passione militare
Nell’agosto 2015 Cozy Bear è stato collegato a un attacco informatico di spear-phishing contro il sistema di e-mail del Pentagono che ha causato la chiusura sia dell’intero ambiente di posta elettronica non classificato del Joint Staff sia di Internet durante l’indagine. L’attività di invio di mail fraudolente mirata a determinati soggetti istituzionali è continuata dopo la campagna elettorale delle elezioni presidenziali degli Stati Uniti del 2016. Cozy Bear è stato collegato a una serie di campagne di spear phishing coordinate e ben pianificate contro i think tank statunitensi e le organizzazioni non governative (ONG).
Governi sotto attacco, realtà o finzione?
Nel febbraio 2017, il Servizio di sicurezza della polizia norvegese (PST) ha riferito che qualcuno aveva tentato di rubare gli account di posta elettronica di nove persone nel Ministero della Difesa, nel Ministero degli Affari Esteri e nel Partito Laburista. Gli atti sono stati attribuiti a Cozy Bear, i cui obiettivi includevano l’Autorità norvegese per la protezione dalle radiazioni, il capo del PST e un collega senza nome. Gli attacchi sarebbero stati condotti nel gennaio 2017 quando parallelamente, nel febbraio 2017, è stato rivelato che Cozy Bear e Fancy Bear avevano fatto diversi tentativi di hackerare i ministeri olandesi, incluso il Ministero degli Affari Generali, nei sei mesi precedenti. Dall’AIVD hanno fatto sapere che gli hacker erano russi e avevano cercato di ottenere l’accesso a documenti segreti del governo. La percezione di eventuali rischi di compromissione scaturita da questi eventi, ha indotto il governo a contare a mano i voti dell’elezione generale olandese del marzo 2017.
Operazione Fantasma: la guerra cibernetica fatta per bene
Apparentemente, il 2018 è sembrato essere tranquillo sul fronte APT29, ma così non è stato per via di tre nuove famiglie di malware attribuite a Cozy Bear: PolyglotDuke, RegDuke e FatDuke. Il gruppo militare non ha cessato le operazioni, ma ha piuttosto sviluppato nuovi strumenti più difficili da rilevare ed è per questo che l’attività del biennio 2018-2019 è stata battezzato come Operazione Fantasma (Ghost).
COVID19
Nel luglio 2020 Cozy Bear è stato accusato da NSA, NCSC e CSE di aver tentato di rubare dati sui vaccini e sui trattamenti per il COVID-19 in fase di sviluppo nel Regno Unito, negli Stati Uniti e in Canada.
