Sicurezza Informatica
APT28 nel mirino del Corpo di Reazione Rapida della NATO
E’ emerso che gli hacker militari russi, noti come APT28, hanno utilizzato exploit zero-day di Microsoft Outlook per prendere di mira diversi paesi membri della NATO in Europa, inclusi i Corpi di Reazione Rapida della NATO.
L’Uso dell’Exploit Zero-Day da Parte di APT28
I ricercatori di Palo Alto Networks’ Unit 42 hanno osservato APT28, noti anche come Fighting Ursa, Fancy Bear e Sofacy, sfruttare la vulnerabilità CVE-2023-23397 per circa 20 mesi in tre campagne contro almeno 30 organizzazioni in 14 nazioni, ritenute di probabile significato strategico per il militare e il governo russo. Questi hacker sono stati collegati alla Direzione Principale dell’Intelligence Militare (GRU) della Russia.
Obiettivi e Implicazioni
Tra gli obiettivi degli attacchi, oltre ai Corpi di Reazione Rapida della NATO, vi sono agenzie europee di Difesa, Affari Esteri e Interni, nonché organizzazioni di infrastrutture critiche coinvolte nella produzione e distribuzione di energia, operazioni di infrastrutture di pipeline e trasporto di materiali, personale e aereo. L’uso di un exploit zero-day contro un obiettivo indica che esso è di significativo valore e suggerisce che l’accesso e le informazioni esistenti per quel bersaglio erano insufficienti al momento.
Continuità degli Attacchi nonostante le Patch
Nonostante Microsoft abbia corretto l’exploit zero-day un anno dopo, nel marzo 2023, e lo abbia collegato a un gruppo di hacking russo, gli operatori APT28 hanno continuato a utilizzare gli exploit CVE-2023-23397 per rubare credenziali che consentivano loro di muoversi lateralmente attraverso le reti compromesse. L’area di attacco è aumentata ulteriormente a maggio, quando è emerso un bypass (CVE-2023-29324) che colpisce tutte le versioni di Outlook per Windows.
Risposta Internazionale e Ricompense
Recentemente, l’agenzia di cybersecurity francese (ANSSI) ha rivelato che gli hacker russi hanno utilizzato la falla di sicurezza di Outlook per attaccare enti governativi, aziende, istituti di istruzione, centri di ricerca e think tank in Francia. Questa settimana, il Regno Unito e gli alleati dell’alleanza di intelligence Five Eyes hanno anche collegato un gruppo di minacce russo, noto come Callisto Group, Seaborgium e Star Blizzard, alla divisione ‘Centre 18’ del Servizio Federale di Sicurezza (FSB) russo. Gli analisti delle minacce di Microsoft hanno sventato gli attacchi di Callisto contro diverse nazioni europee della NATO disabilitando gli account Microsoft utilizzati dagli attori della minaccia per la sorveglianza e il raccolto di email. Il governo degli Stati Uniti ora offre una ricompensa di 10 milioni di dollari per informazioni sui membri di Callisto e le loro attività.