Bentrovati a un nuovo capitolo di Guerra Cibernetica. Dopo aver affrontato le attività di propaganda del paese Sovietico in rete, oggi entriamo nel merito dei gruppi militari e paramilitari presenti in Russia ed analizziamo le loro strategie. Attività come queste sono storicizzate dai primi anni 2000 e quindi la storia è piena di riferimenti su attività militari del gruppo informatico più chiacchierato del mondo occidentale. Non è un caso che quando accade qualcosa, l’hacker russo fa sempre il suo effetto nelle comunicazioni ufficiali dei soggetti aggrediti, anzi, viene avanzato subito il sospetto di un loro coinvolgimento ed in gran parte è vero. La Russia può contare su questi gruppi:

• Fancy Bear (APT28)
• Cozy Bear (APT29)
• Sandworm
• Berserk Bear
• FIN7
• Venomous Bear

In alcuni casi c’è l’acronimo della sigla Advanced Persisten Threat seguita da un numero, che serve a classificare il tipo di attacco a cui abbiamo dedicato il primo articolo che ha dato il via a questa rubrica. Il gruppo ha diversi nomi che sono scelti dagli scopritori degli attacchi e che generalmente sono società di sicurezza informatica impegnate nel campo della cybersecurity, sia statale sia aziendale, e nella produzione di antivirali. I mille volti di APT28 sono Pawn Storm, Sofacy Group (affibbiatogli da Kaspersky), Sednit, Tsar Team (da FireEye) e STRONTIUM (dal team di Microsoft. Essendo i russi impegnati nella guerra cibernetica da tempo, gli attacchi imputati a Fancy Bear sono in numero cospicuo.

Il nome “Fancy Bear” deriva dal sistema di codifica che Dmitri Alperovitch utilizza per i gruppi di hacker. “Bear” indica che gli hacker vengono dalla Russia. Fancy si riferisce a “Sofacy”, una parola nel malware che ha ricordato all’analista che lo ha trovato, la canzone “Fancy” di Iggy Azalea.

Il metodo degli attacchi

L’attacco di Fancy Bear non è unico, ma simile sotto certi aspetti perché rispecchia il protocollo delle minacce apt in generale. Vengono usate e-mail di spear phishing, per insinuarsi negli obiettivi con tecniche di ingegneria sociale. Non è un caso che hanno l’abitudine di spedire email il lunedì o il venerdì, dove chiedono di cambiare le password di accesso. Altro tipo di attacco è quello dei siti web di malware drop che, travestiti da fonti di notizie, consentono agli obiettivi di scaricare file malevoli spesso anche da domini simili ai siti più noti, ma è ricorrente anche l’utilizzo dei link abbreviati come bit.ly. Infine, le vulnerabilità zero-day. Proprio su quest’ultimo metodo è stata accertata la natura statale del gruppo perché solo nel 2015 Fancy Bear aveva effettuato attacchi con almeno 6 vulnerabilità critiche diverse, capaci di insinuarsi in programmi di alta gamma e questa potenza di fuoco può solo appartenere ad uno stato viste le risorse umane necessarie per raggiungere obiettivi del genere. I soggetti attaccati sono utilizzati anche come computer zombie che filtrano la navigazione in internet del team russo e questo rende incalcolabile la dimensione della bot net in possesso dell’FSB.

Giornalisti colpiti: dal New York Times alla CNN

Dalla metà del 2014 fino all’autunno del 2017, Fancy Bear ha preso di mira numerosi giornalisti negli Stati Uniti, Ucraina, Russia, Moldavia, Paesi Baltici e altri paesi che avevano scritto articoli su Vladimir Putin e il Cremlino. La lista dei bersagli di Fancy Bear include Adrian Chen, la giornalista armena Maria Titizian, Eliot Higgins di Bellingcat, Ellen Barry e almeno altri 50 reporter del New York Times, almeno 50 corrispondenti esteri con sede a Mosca che hanno lavorato per punti di informazione indipendenti, Josh Rogin, un editorialista del Washington Post, Shane Harris, uno scrittore del Daily Beast che nel 2015 ha coperto questioni di intelligence, Michael Weiss, un analista della sicurezza della CNN, 30 obiettivi dei media in Ucraina, reporter che hanno seguito la guerra sostenuta dalla Russia in Ucraina orientale, così come in Russia dove la maggior parte dei giornalisti presi di mira dagli hacker ha lavorato per notizie indipendenti come Ekaterina Vinokurova a Znak e i giornalisti russi di Governo come Tina Kandelaki, Ksenia Sobchak, e il conduttore televisivo russo Pavel Lobkov.

Attacchi tedeschi

Fancy Bear è ritenuto responsabile di un attacco informatico al parlamento tedesco durato sei mesi e iniziato nel dicembre 2014. L’attacco ha completamente paralizzato l’infrastruttura informatica del Bundestag nel maggio 2015. Per risolvere la situazione, l’intero parlamento ha dovuto essere messo offline per giorni con gli hacker russi che hanno scaricato come bottino un totale di 16 gigabyte di dati dal Parlamento. Un attacco che si è ripetuto nel 2016 ai membri del parlamento tedesco senza distinzione di appartenenza ai partiti mettendo in guardia l’intelligence sulle elezioni federali tedesche del 2017. Per questi attacchi, si è arrivati nel 2020 ad accusare Dimitri Badin, un ufficiale del GRU e sospetto membro di APT28, come principale sospettato per i cyber-attacchi. Tra i capi di imputazione figurano anche le elezioni del 2016 e del 2017 in Francia e Germania che sembrerebbero essere state prese di mira dal gruppo di Fancy Bear, anche se non ci sono mai state prove certe, ma solo ipotesi.

La False Flag del Califfato virtuale

Nel febbraio del 2015, cinque mogli di personale militare degli Stati Uniti hanno ricevuto minacce di morte da un gruppo hacker presentatosi come “CyberCaliphate“, sostenendo di essere un affiliato dello Stato Islamico. Si è poi scoperto che si trattava di un attacco false flag, con intenzioni di distrarre gli investigatori sugli autori, che è stato individuato quando, dopo indagini approfondite, le donne comparivano nella lista di email da utilizzare come esca per ottenere diverse informazioni.

Sempre sotto l’egida del CyberCaliphate, Fancy Bear l’ha letteralmente combinata grossa con la televisione francese TV5Monde nel mese di aprile sempre dello stesso anno. Oltre a modificare la programmazione per 3 ore di ben 12 canali televisivi appartenenti al network, rendendo il ripristino delle attività molto complesso tanto da pregiudicare i contratti commerciali dell’emittente televisiva, i pseudo hacker collegati all’ISIS hanno anche dirottato le pagine social su comunicazioni inneggianti al fondamentalismo islamico ed all’inutilità delle guerre intraprese dall’allora presidente Hollande. Ricostruendo l’accaduto, l’attacco è stato accuratamente pianificato con la tecnica di intrusione avvenuta nel 23 gennaio 2015, a cui ha fatto seguito lo studio dell’infrastruttura di rete del network televisivo, modellando poi un software maligno programmato per distruggere l’hardware in uso. Ben sette i punti di attacco sono stati individuati e non solo provenienti dalla Francia. Uno di questi è stato individuato nei Paesi Bassi e partiva da una società fornitrice delle telecamere di sorveglianza. Un altro attacco ha sfruttato i log TACACS per cancellare il firmware da switch e router. Un attacco che è costato caro all’azienda, di matrice russa secondo quanto riferito dalla cyber agenzia francese. La ragione però non è mai stata chiara e si sospetta che fosse un test di guerra cibernetica su una tipologia di servizi, quello televisivo, mai adottata fino a quel momento.

Assalto alle banche

Nel maggio 2015, la società di sicurezza root9B ha pubblicato un rapporto su Fancy Bear nel maggio 2015, annunciando la sua scoperta di un attacco di spear phishing mirato rivolto alle istituzioni finanziarie. Il rapporto ha elencato le istituzioni bancarie internazionali che sono state prese di mira, tra cui la United Bank for Africa, Bank of America, TD Bank, e UAE Bank. Sempre secondo gli scopritori, il malware utilizzato portava la stessa firma di altri impiegati dal gruppo militare russo

Guerra cibernetica per colpire il Patto Atlantico

Nell’agosto 2015, Fancy Bear ha utilizzato un exploit zero-day di Java, spoofando la Electronic Frontier Foundation e lanciando attacchi alla Casa Bianca e alla NATO. Gli hacker hanno utilizzato un attacco di spear phishing, indirizzando le e-mail al falso URL electronicfrontierfoundation.org

Attacchi ai giochi olimpici con l’infamia del doping

Un anno dopo l’attacco alla Nato, agosto 2016, la World Anti-Doping Agency ( Agenzia mondiale contro il doping) ha segnalato la ricezione di e-mail di phishing inviate agli utenti del suo database che sostenevano di essere comunicazioni ufficiali dell’agenzia e che richiedevano i loro dati di accesso. Dopo aver esaminato i due domini forniti dalla WADA, si è scoperto che le informazioni di registrazione e di hosting dei siti web erano coerenti con il gruppo di hacking russo Fancy Bear. Secondo la WADA, alcuni dei dati che gli hacker hanno rilasciato erano stati falsificati. La matrice russa era più che probabile visto il contesto storico delle Olimpiadi di Rio 2016 dove gli atleti di Putin erano stati esclusi proprio per motivi di Doping ed hanno provato a ricambiare con la stessa moneta pubblicando una lista di atleti famosi come le tenniste e sorelle Williams, che avevano ricevuto esenzioni dal doping per motivi terapeutici.

I funzionari della International Association of Athletics Federations (IAAF) hanno dichiarato nell’aprile 2017 che i suoi server erano stati violati dal gruppo “Fancy Bear” da almeno due mesi grazie ad un accesso remoto non autorizzato ai server della IAAF , avendo accesso alle applicazioni di Therapeutic Use Exemption, necessarie per utilizzare farmaci vietati dalla WADA

Nel gennaio 2018, un profilo online denominato “Fancy Bears Hack Team” ha fatto trapelare quelle che sembravano essere email rubate del Comitato Olimpico Internazionale (CIO) e del Comitato Olimpico degli Stati Uniti, datate dalla fine del 2016 all’inizio del 2017, sono trapelate in apparente ritorsione per il divieto del CIO di atleti russi dalle Olimpiadi invernali del 2018 come sanzione per il programma di doping sistematico della Russia.

Anche la Confederazione sportiva svedese ha riferito che Fancy Bear ha attaccato i loro archivi contenenti le registrazioni dei test antidoping degli atleti ad essa iscritti. Sul fronte del doping, i russi sono stati sempre molto attivi tanto da prendere di mira la Berlinger Group, azienda impegnata nel settore dei test antidroga sportivi.

Dagli USA è arrivata nell’ottobre 2018 un’incriminazione da parte di un gran giurì federale degli Stati Uniti destinata a di sette uomini russi, tutti ufficiali del GRU, in relazione a svariati attacchi ed in particolare agli atleti russi coinvolti nei giochi olimpici.

La strage aerea del Malaysia Airlines

Colpevoli di aver diffuso le prove del tragico schianto aereo del volo 17 in dotazione alla Malaysia Airlinies, gli hacker russi di Fancy Bear hanno attaccato i giornalisti associati al gruppo editoriale Bellingcat con falsi avvisi Gmail di compromissione della sicurezza che utilizzavano links abbreviati come bit.ly ed i server di origine furono classificati come già utilizzati dall’atp28 in incursioni precedenti. Sempre in merito alla vicenda del volo abbattuto costato la vita a centinaia di civili, il gruppo ha preso di mira il Dutch Safety Board, l’organismo che conduce l’indagine ufficiale sullo schianto, prima e dopo la pubblicazione del rapporto finale della commissione. Hanno creato falsi server SFTP e VPN per imitare i server del consiglio, probabilmente allo scopo di spearphishing di nomi utente e password, ma questa volta senza successo.

Continua la ricerca dei siti truffa che appartengono alla rete di Card-Master.net. Nei giorni precedenti abbiamo parlato di una truffa subita da un lettore, riuscendo a rintracciare altri siti internet ed a scovare conti correnti in Spagna intestati a cittadini dell’est. Dopo giorni di ricerche in giro per la rete, si è individuata la ragnatela messa in piedi dai truffatori e composta da diversi siti internet il cui unico comun denominatore sono le coordinate bancarie indicate nella pagina della modalità di pagamento di card-master.

Durante le ricerche è emerso un altro conto corrente, IT11I3253203200006571049303, intestato a Annalisa Priscoli di cui invitiamo a prendere nota per evitare ulteriori truffe in futuro. L’indirizzo bancario della donna è associato sempre ad una Sisal Pay.

Quali siti da evitare per l’e-commerce

Dopo aver dedicato un pò di tempo nello scovare siti internet truffaldini, la lista estrapolata è abbastanza corposa. Alcuni di questi sono stati chiusi, ma non è detto che possano riaprire dopo che molti avranno dimenticato le truffe subite. Ecco la lista dei siti web associati agli iban delle truffe in rete:

• http://card-master.net
• https://dot-address.com
• https://misterdoc.net
• https://sertronicsu.net
• http://nuovabase.com
• http://sebastian-store.net
• http://tazzina-stregata.net
• https://matic-group-palma.com
• https://mava-infissi.com
• https://craos-arredo.net
• https://play-casoria-srl.com
• http://cat-grano-roma.net
• http://centoducati-service.com
• https://asa-rappresentanze-srl.net
• http://3dresearchsrl.net
• https://2m-italiasrl.net
• http://matera-elettronica-snc.com
• http://dierre-lido-roma.net
• http://creo-elettrodomestici-ostia.net
• http://federico-elettrodomestici-roma.com
• http://mari-lavatrici-roma.com
• http://nuova-frigo-roma.com
• https://alferserramentisrl.net
• https://alfonsoscuottosrl.net
• http://catl2m-bari.com
• http://vream-bari.com
• http://zaste-lecce.com
• https://acerrano-mario-srl.net
• https://allservicesprovidersrl.net
• http://sima-86-roma.com
• http://aloisio-palermo.com
• https://ap-srl.net
• http://borletti-elettrodomestici.com
• http://accomasso-elettrodomestici.com
• http://are-zanetta.com
• http://cattaneo-elettrodomestici.com
• https://alp-srl.net
• http://medaglia-mauro-elettrodomestici.com
• http://filippini-elettrodomestici.com
• http://elettroniche-costa-catanzaro.com
• https://allestimentiaddobbigargiulosrl.net
• https://ar-service-srl.net
• http://celer-elettrodomestici-lecce.com
• http://elettrodomestici-macchia.com
• http://gambacorta-elettrodomestici.com
• http://mazzotta-massimo-elettrodomestici.com
• http://stael-snc.com
• http://celer-elettrodomestici-lecce.com
• https://demosoft-bacoli.net
• https://art-project-srl.net
• https://distek-strumentazion.net/
• https://artes-srl.net/
• https://human-arredi-casalnuovo.net/
• www.slim-iusco-bari.com/
• https://kokodroid.net/
• https://cellarhosting.com/

Una società con un pregiudicato

Nel merito delle ricerche effettuate, si è risaliti ad una società chiusa, ma con partita IVA ancora aperta, nella cui composizione societaria figurano ben tre nominativi estranei agli intestatari dei conti correnti. Tra questi, c’è un elemento che ha precedenti penali.

Su indicazione di un utente truffato giunta in redazione, abbiamo denunciato l’exit-scam del sito card-master.net, sparito da internet dopo l’aumentare delle segnalazioni riguardante le truffe subite. Nell’articolo precedente abbiamo informato i lettori sulla possibilità dell’esistenza di una rete di siti internet messi online per incamerare quanti più soldi possibili con il metodo del pagamento su bonifico verso conti esteri.

Diffidate da questi conti correnti

E’ bastato poco per risalire ai metodi di pagamento utilizzati sul portale ed agli indirizzi bancari indicati. Sono 4 i conti correnti intestati a 4 persone diverse. Tre di questi sono russofoni o dell’Est Europa, ma c’è un quarto italiano, anzi, italiana.

• Dettagli bancari per effettuare il bonifico: IBAN: ES2615632626313260722909 Intestatario: Nikolai Okunev BANK N26 BANK GMBH, SUCURSAL EN ESPAÑA BIC NTSBESM1 BRANCH ADDRESS DE JOSÉ ABASCAL 41 CITY MADRID ZIP 28003 COUNTRY Spain (ES)
• Intestatario: Gleb Vasilev IBAN: ES9215632626363267121827 BIC: NTSBESM1 Bank: N26 BANK GMBH, SUCURSAL EN ESPAÑA DE JOSÉ ABASCAL 41 28003 MADRID
• Intestatario: Loza Mikhail IBAN: ES6215632626363265878924 BIC: NTSBESM1 Bank: N26 BANK GMBH, SUCURSAL EN ESPAÑA DE JOSÉ ABASCAL 41 28003 MADRID
• Carta prepagata SISALPAY: Intestatario: Immacolata Priscoli IBAN: IT98K3253203200006571367496 BANK SISALPAY S.P.A. BIC SIGPITM1 BRANCH SISALPAY 5 DIGITAL PAYMENTS ADDRESS VIALE SACCO E VANZETTI, 89 CITY ROMA ZIP 00155 COUNTRY Italy (IT)

Tre conti correnti sono presenti presso lo stesso istituto di credito, N26 (nota banca online), mentre il quarto riferimento è una Sisal Pay italiana intestata ad una donna.

Attenzione a non incorrere in conclusioni affrettate perché non sappiamo se i nominativi indicati siano veri e consapevoli dei mancati ordini evasi.

Scoperta una rete di siti esca

dopo aver scoperto questi nomi ed i relativi iban, facendo una ricerca in rete, è stato possibile risalire ad altri siti internet che sono stati segnalati per ordini mai evasi e si nota anche che, come avevamo suggerito, non tutti hanno la stessa attività commerciale di Card Master. I siti internet da evitare al momento sono dotaddress.com e misterdoc.net, ma a questo punto non si possono escludere molti altri domini simili.

Essendo misterdoc.net/, notiamo che il sito è sotto lo stesso hosting islandese di Card Master ed ha la proprietà coperta da privacy come molti siti dell’isola nordeuropea e dando uno sguardo alla grafica del sito stesso notiamo che l’immagine è molto semplice ed allestita in breve tempo, senza considerare che per procedere al pagamento c’è bisogno di registrarsi e questo fa intendere che non c’è la possibilità di utilizzare la modalità di acquisto senza registrazione. Il motivo è semplice: il sito non ha una piattaforma di ecommerce e come unica modalità di pagamento ha il bonifico bancario ai conti correnti virtuali già visti. Si configura anche un’altra ipotesi che è quella di inserire i propri dati e quelli della carta di credito per poi dare tutti gli elementi ai criminali per clonarle ed utilizzarle in modo fraudolento unendo le tecniche di phishing e quelle di carding. Per quanto riguarda dotaddress.com, invece, l’hosting è russo ed il dominio risulta in vendita, ma non sappiamo chi sia il titolare perché coperto da privacy.

I nominativi dei correntisti ed il primo hosting in Russia, ci fanno sospettare che i criminali provengano dalle terre di Mosca capitale

Cosa fare per evitare altre fregature su siti simili?

• Se un sito vi chiede il bonifico come modalità di pagamento ed è in lingua italiana, verificate la modalità di pagamento e se l’iban si appoggia ad un istituto di credito italiano e possibilmente non virtuale.
• Verificare che il pagamento venga fatto ad una azienda e non a delle persone e verificare se i nominativi sono già stati segnalati in rete per truffa.
• Effettuare un bonifico all’estero non sempre garantisce la restituzione di quanto pagato. Per questo le piattaforme più importanti si appoggiano ai circuiti internazionali più accreditati e non toccano direttamente i soldi.
• Anche l’impostazione grafica del sito è molto importante. In questo caso ci troviamo dinanzi a un prodotto standard personalizzato poco e molto dozzinale come grafica.