Hacker d’élite associati al servizio di intelligence militare russo sono stati collegati a campagne di phishing su larga scala rivolte a centinaia di utenti in Ucraina allo scopo di estrarre informazioni e influenzare il discorso pubblico legato alla guerra. Google TAG sta monitorando le attività del gruppo sotto il nome di FROZENLAKE.
Dettagli sugli attacchi di phishing e gli attori coinvolti
FROZENLAKE, conosciuto anche come APT28, Fancy Bear, Forest Blizzard, Iron Twilight, Sednit e Sofacy, è un attore sponsorizzato dallo stato, attivo dal 2009 e specializzato nel colpire media, governi e entità militari per scopi di spionaggio. Gli attacchi più recenti, iniziati all’inizio di febbraio 2023, hanno coinvolto l’uso di attacchi XSS (cross-site scripting) su vari siti web governativi ucraini per reindirizzare gli utenti verso domini di phishing e catturare le loro credenziali.
Altri gruppi di hacker coinvolti e obiettivi
Oltre a FROZENLAKE, un altro gruppo degno di nota è FROZENBARENTS, noto anche come Sandworm, Seashell Blizzard (née Iridium) o Voodoo Bear, che si è concentrato sull’Ucraina dall’invasione militare russa nel paese più di un anno fa. Questo gruppo ha condotto una serie di attacchi contro organizzazioni affiliate al Caspian Pipeline Consortium (CPC) e altre entità del settore energetico nell’Europa orientale.
Campagne di phishing e tecniche utilizzate
Entrambi i gruppi sono stati attribuiti alla Direzione principale dell’intelligence generale dello staff (GRU), con APT28 legato all’unità di intelligence militare 26165 del 85° Centro servizi speciali (GTsSS). Sandworm, invece, è ritenuto parte dell’Unità 74455 della GRU. Le campagne di phishing hanno coinvolto l’invio di link tramite SMS e l’utilizzo di pacchetti di aggiornamento Windows fasulli per eseguire uno strumento di furto di informazioni chiamato Rhadamanthys e sottrarre password e cookie del browser.
Altri attori minacciosi e attacchi in Ucraina
Un terzo attore minaccioso è PUSHCHA (noto anche come Ghostwriter o UNC1151), un gruppo sostenuto dal governo bielorusso che agisce per conto degli interessi russi. Questo gruppo ha condotto attacchi di phishing mirati ai fornitori di webmail ucraini come i.ua e meta.ua, cercando di compromettere le credenziali degli utenti e accedere alle loro email.
Impatto degli attacchi di PUSHCHA
Gli attacchi di PUSHCHA hanno portato alla violazione di numerose caselle di posta elettronica, causando la divulgazione di informazioni sensibili e mettendo in pericolo la sicurezza degli utenti ucraini. La compromissione delle email può avere conseguenze gravi, tra cui la diffusione di disinformazione, il furto di identità e l’accesso a informazioni riservate.
Misure di protezione contro gli attacchi informatici
Per proteggersi da attacchi informatici come quelli condotti da PUSHCHA e altri attori minacciosi, è importante adottare misure di sicurezza adeguate. Alcune raccomandazioni includono:
- Utilizzare password complesse e uniche per ogni account, evitando di riciclare le stesse credenziali su diversi siti.
- Abilitare l’autenticazione a due fattori (2FA) per aggiungere un ulteriore livello di protezione ai propri account.
- Mantenere aggiornati i propri dispositivi e software, installando tempestivamente gli aggiornamenti di sicurezza.
- Fare attenzione agli allegati e ai link sospetti nelle email, in particolare se provengono da mittenti sconosciuti o inaspettati.
- Utilizzare un software antivirus affidabile e mantenerlo sempre aggiornato per proteggersi da malware e altre minacce informatiche.