“Ghostwriter”: la campagna anti-NATO degli hacker russi nella regione baltica

Mag 14 2021
a cura della Redazione
La società di sicurezza informatica statunitense FireEye ha rilevato nel 2020 un’attività condotta da cyber criminali per influenzare l’opinione pubblica di Lituania, Lettonia e Polonia riguardo alla presenza dellAllenza Atlantica in Europa orientale. L’operazione è tutt’ora in corso e coinvolge un’organizzazione di pirati informatici supportata dal Cremlino.
(Fonte: Unsplash)
(Fonte: Unsplash)

Nel luglio del 2020, Mandiant Threat Intelligence (servizio accessibile tramite la piattaforma Internet Mandiant Advantage SaaS che fornisce informazioni sulle minacce informatiche più recenti) ha pubblicato un report pubblico che descriveva in dettaglio una campagna cibernetica volta a influenzare l’opinione pubblica di alcuni paesi della regione baltica a vantaggio degli obiettivi di politica estera della Russia. FireEye, azienda di sicurezza informatica statunitense (la prima con certificazione del Dipartimento dell’Homeland Security) proprietaria di Mandiant, ha battezzato tale campagna “Ghostwriter”. L’operazione sarebbe ancora in corso e si rivolge principalmente a un pubblico situato in Lituania, Lettonia e Polonia, per promuovere narrazioni critiche nei confronti della presenza della NATO nell’Europa orientale.
Nei mesi successivi alla pubblicazione del report, FireEye ha continuato a indagare e a riferire agli utenti del Mandiant Threat Intelligence sull’attività di Ghostwriter, procedendo inoltre a monitorare i nuovi episodi di questa attività, circa una ventina, a mano a mano che si verificavano, e identificando attività che risalgono a molti anni prima della scoperta dell’operazione nel 2020. Un nuovo rapporto di tre team di FireEye – Information Operations Analysis, Cyber ​​Espionage e Mandiant Research – ha fornito nei giorni scorsi un aggiornamento su Ghostwriter, evidenziando due sviluppi significativi.

Gli attacchi a funzionari polacchi

Nello specifico, è stata rilevata un’espansione delle narrative, del targeting e delle TTP (Tactics, Techniques and Procedures) operati da Ghostwriter dopo la pubblicazione del primo rapporto nel luglio 2020. Per fare un esempio, tra ottobre 2020 e gennaio 2021 si sono svolte cinque operazioni in cui gli hacker, ai fini della loro campagna di influenza, hanno massicciamente utilizzato gli account compromessi di funzionari polacchi di destra sui social media (Twitter, Facebook e Instagram) allo scopo di pubblicare contenuti destinati a creare divisioni nella politica interna del paese e un clima di sfiducia nei confronti della NATO.

Queste operazioni, condotte in polacco e inglese, sembrano in gran parte non fare affidamento sui vettori di diffusione osservati da FireEye nelle precedenti attività di Ghostwriter, quali ad esempio siti web compromessi, e-mail contraffatte o post diffusi da personalità fittizie. Gli esperti non hanno trovato alcuna prova che le stesse piattaforme social fossero in alcun modo compromesse, ritenendo invece che le credenziali degli account da cui gli hacker diffondevano le loro narrazioni siano state ottenute violando le caselle di posta elettronica degli individui presi di mira.

Articoli “artefatti” apparsi su siti web polacchi. (Fonte: Report pubblicato da Mandiant nel luglio 2020)
Articoli “artefatti” apparsi su siti web polacchi. (Fonte: Report pubblicato da Mandiant nel luglio 2020)
Furto di credenziali e campagne di malware. Anche in Ucraina e Germania

Le prove tecniche ottenute recentemente consentono ai team di FireEye di stabilire, con un elevato grado di certezza, che almeno alcune delle attività di influenza di Ghostwriter sono state condotte dal gruppo denominato UNC1151, sospettato di spionaggio informatico per conto del governo russo e impegnato in operazioni di “raccolta” di credenziali e campagne di malware. Va precisato che le attuali lacune di intelligence, in particolare per quanto riguarda i siti compromessi e il funzionamento dei profili falsi, non consentono a FireEye di attribuire tutta l’operazione Ghostwriter a UNC1151.

Quest’ultimo, attivo almeno dal 2017, utilizza una vasta gamma di domini che imitano i principali servizi web, anche regionali, con pagine host progettate per indurre le vittime designate a inserire le proprie credenziali.

Tra le numerose operazioni attribuite al gruppo negli anni, il report di FireEye segnala quella rilevata il 4 marzo 2020 da Mandiant Threat Intelligence, che scoprì un’e-mail di phishing utilizzante un indirizzo “ukr.net” contraffatto (oggetto di “spoofing”) per prendere di mira un giornalista ucraino. Il messaggio, inviato tramite il servizio SMTP2GO e il framework Gophish, conteneva un link che portava a una pagina di accesso falsificata per rubare le credenziali della vittima. Un caso analogo a quello appenda descritto, anch’esso rilevato da FireEye, ha riguardato un blogger e attivista bielorusso di alto profilo.

Sempre secondo la società di sicurezza informatica statunitense, dall’inizio del 2021 il gruppo UNC1151 ha esteso la propria attività di furto di credenziali per prendere di mira i politici tedeschi, attività segnalata pubblicamente dai media tedeschi, tra cui “Der Spiegel” e “Tagesschau”.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *