Il gruppo di hacker COLDRIVER, collegato al Cremlino, è sospettato di essere dietro un recente attacco di phishing che ha colpito un’importante ONG pro-democrazia russa. L’organizzazione Free Russia Foundation ha subito un attacco che ha portato alla diffusione online di documenti interni e corrispondenza, tra cui rapporti su sovvenzioni e altre informazioni sensibili. L’attacco sembra essere parte di una campagna più ampia che mira a compromettere organizzazioni non governative (ONG) in Russia e Bielorussia.
Phishing mirato di COLDRIVER
Secondo Citizen Lab, i dettagli dell’attacco indicano che le campagne di phishing erano altamente personalizzate e spesso inviate da account compromessi o creati ad hoc per impersonare persone di fiducia. Gli attacchi hanno incluso email contenenti file PDF apparentemente bloccati, con link che conducevano a pagine fraudolente per il furto di credenziali. Una volta rubate, queste credenziali venivano utilizzate per accedere alle caselle di posta delle vittime, dove potevano essere presenti informazioni sensibili su individui e attività di organizzazioni pro-democrazia.
Implicazioni e Rischi
Gli attacchi contro le ONG russe e bielorusse sono particolarmente pericolosi perché i governi locali potrebbero utilizzare queste informazioni per accusare tali organizzazioni di collaborare con entità straniere. Ciò potrebbe portare alla loro designazione come “agenti stranieri” o “organizzazioni indesiderabili”, con conseguenze legali molto gravi, inclusa l’arresto di individui associati a tali gruppi.
La Free Russia Foundation ha dichiarato che non è sorpresa da questo tipo di attacchi, poiché rientrano nella strategia abituale di COLDRIVER, attivo dal 2019 e coinvolto in cyber-attacchi contro ONG, governi e infrastrutture critiche in tutto il mondo.
COLDRIVER e le nuove tecniche di attacco
Sebbene COLDRIVER sia noto principalmente per le sue tattiche di phishing, Google ha rivelato che il gruppo ha iniziato a distribuire un malware personalizzato chiamato SPICA, capace di eseguire comandi da shell, rubare cookie del browser ed esfiltrare file. Questo mostra un’evoluzione nelle capacità del gruppo, aumentando il rischio per le organizzazioni mirate.
Un altro gruppo di hacker, COLDWASTREL, è stato identificato come responsabile di ulteriori campagne di phishing contro le ONG russe, ma non è ancora chiaro se sia direttamente collegato al Cremlino, sebbene sembri sostenere ideologie pro-Russia.