Continuano le conferme alle analisi di Matrice Digitale sin dall’inizio del conflitto, l’unica testa in Italia che non ha mai sottovalutato gli attacchi russi e non ha mai dato troppa importanza alla propaganda occidentale mascherata dietro le “dimostrazioni” di Anonymous.
Microsoft ha rilasciato una linea temporale di quasi 250 operazioni informatiche da sei gruppi di minaccia separati allineati con la Russia dai giorni calanti prima che la Russia iniziasse il suo assalto fisico. Microsoft ha anche dettagliato le operazioni informatiche che risalgono a quasi un anno fa in preparazione dell’attacco fisico.
“I gruppi di minaccia con legami noti o sospetti con il GRU hanno continuamente sviluppato e utilizzato malware wiper distruttivo o strumenti altrettanto distruttivi su reti ucraine mirate, al ritmo di due o tre incidenti a settimana dalla vigilia dell’invasione“, ha scritto Microsoft nel suo rapporto. “Dal 23 febbraio all’8 aprile, abbiamo visto prove di quasi 40 attacchi distruttivi discreti che hanno distrutto permanentemente i file in centinaia di sistemi in decine di organizzazioni in Ucraina“.
Microsoft sostiene che i gruppi russi noti per prendere di mira l’Ucraina hanno iniziato un drammatico aumento di tali attività nel marzo del 2021, circa un anno prima dell’invasione fisica del paese alla fine di febbraio 2022. Le prime violazioni erano “volte a garantire un accesso persistente per la raccolta di informazioni strategiche e sul campo di battaglia o per facilitare futuri attacchi distruttivi“, ha detto Microsoft.
All’inizio del 2021, quando la Russia ha iniziato a radunare le truppe sul confine ucraino, la Russia ha iniziato campagne di phishing contro gli interessi ucraini per raccogliere sostegno per il paese. Entro la metà dell’anno, i gruppi russi cominciarono a posare la violazione dei fornitori IT che servono l’Ucraina e la NATO per fare leva per gli attacchi alla catena di approvvigionamento. Per tutto il 2021, il 93% dei tentativi russi di violare gli account Microsoft erano rivolti agli stati membri della NATO.
Nel 2021, Gamaredon ha preso di mira i leader militari ucraini e gli operatori umanitari. APT 28 ha preso di mira le organizzazioni legate alla difesa in Ucraina e un gruppo allora sconosciuto che avrebbe poi lanciato il Whispergate contro l’Ucraina poco prima dell’invasione, ha stabilito l’accesso in aziende ucraine di energia e IT che sono state poi bersaglio di attacchi. Questi gruppi insieme a Turla, Energetic Bear e tutti avrebbero stabilito punti di appoggio persistenti nella “difesa ucraina, base industriale della difesa, politica estera, amministrazione nazionale e locale, forze dell’ordine e organizzazioni umanitarie“. Nobellium, il gruppo noto per le violazioni Solarwinds alla fine del 2020, ha effettuato il phishing di obiettivi statali della NATO dopo aver iniziato l’anno prendendo di mira gli interessi ucraini, accumulando sostegno per il paese mentre la Russia ammassava truppe al confine.
Microsoft ha notato diversi casi in cui le azioni militari cinetiche sono state sincronizzate con il supporto informatico.
Un attacco missilistico su una torre televisiva di Kiev è arrivato un giorno dopo la compromissione di una società di media di Kiev e lo stesso giorno degli attacchi distruttivi su larga scala su gruppi di media di Kiev. La presa di controllo della più grande centrale nucleare in Ucraina è arrivata nello stesso momento del movimento laterale attraverso le reti delle aziende energetiche. La Russia ha violato le reti governative di Vinnytsia due giorni prima della presa fisica dell’aeroporto di Vinnytsia, e un impianto distruttivo è stato piazzato sui sistemi governativi di Dnipro lo stesso giorno dei primi attacchi missilistici contro la città. Questi erano solo esempi delle prime due settimane di guerra.
Il rapporto elenca diversi attacchi noti contro l’Ucraina, tra cui Industroyer2 e i vari attacchi malware wiper.
Nel rapporto, Microsoft ribadisce un avvertimento dato dalla Cybersecurity and Infrastructure Security Agency all’inizio dell’invasione:
“Man mano che il conflitto persiste e i paesi forniscono più assistenza militare all’Ucraina o prendono più misure punitive contro il governo russo, gli attori della minaccia dello stato nazionale russo possono essere incaricati di espandere le loro azioni distruttive di ritorsione contro obiettivi al di fuori dell’Ucraina per rappresaglia“.
