Ucraina: il controspionaggio smaschera hacker informatici controllati da Mosca

Nov 10 2021

Il Servizio di Sicurezza di Kiev ha identificato i componenti del gruppo “Armagedon”, che a partire dal 2014 ha compiuto oltre 5.000 attacchi cibernetici contro istituzioni e infrastrutture critiche del paese est-europeo. Nel frattempo, anche il gruppo “Nobelium” è tornato a far parlare di sé per le attività malevole condotte ai danni di organizzazioni con sede negli Stati Uniti e in Europa.

Il 4 novembre 2021, il Servizio di Sicurezza dell’Ucraina (SBU) ha svelato i particolari di un’operazione di hacking condotta dai servizi segreti russi contro le autorità pubbliche e le infrastrutture critiche del paese est-europeo fin dal 2014. (Fonte: SBU)

Il Dipartimento per la sicurezza informatica del Servizio di Sicurezza dell’Ucraina (SBU), l’agenzia di controspionaggio di Kiev, ha annunciato pochi giorni fa di aver identificato gli hacker del gruppo “Armagedon” responsabili di oltre 5.000 attacchi informatici contro le autorità pubbliche e le infrastrutture critiche del paese est-europeo. Si tratterebbe di “ufficiali dell’FSB della Crimea” (l’FSB è il Servizio di sicurezza federale russo) e “traditori che hanno disertato in favore del nemico durante l’occupazione della penisola [della Crimea] nel 2014”.
L’SBU, in collaborazione con l’Intelligence militare, è riuscito a identificare i nomi e il grado militare degli autori (che ha divulgato), intercettare le loro comunicazioni (uno stralcio con trascrizione è pubblicato nel video visibile sotto questo paragrafo) e ottenere “prove inconfutabili” del loro coinvolgimento negli attacchi. Tutto ciò, nonostante gli hacker avessero utilizzato il software e gli altri strumenti a disposizione dell’FSB per rimanere anonimi e nascosti durante le loro operazioni di pirateria informatica. A cinque membri del gruppo, essendo ucraini, è stata notificata l’accusa di tradimento.

Le attività di “Armagedon” a partire dall’annessione della Crimea alla Russia

Il gruppo di hacker Armagedon risulta essere stato organizzato dall’FSB con il compito specifico di colpire l’Ucraina agendo sotto il coordinamento del 18° Centro (Centro per la Sicurezza Informatica) della stessa agenzia. Dall’annessione della Crimea nel 2014, questa unità avrebbe effettuato più di 5.000 attacchi cyber e tentato di infettare oltre 1.500 sistemi informatici del governo ucraino. Secondo il report dell’SSU, gli hacker agivano con i seguenti obiettivi: assumere il controllo delle infrastrutture critiche ucraine (centrali elettriche, sistemi di fornitura idrica e termica); raccogliere intelligence, comprese le informazioni ad accesso riservato riguardanti il settore della sicurezza e della difesa, nonché le agenzie governative; condurre operazioni di influenza informativa e psicologica; bloccare i sistemi informatici delle vittime.

Il Dipartimento per la sicurezza informatica dell’SBU ha divulgato i nomi degli hacker del gruppo “Armagedon”. (Fonte: SBU)

Il gruppo “Nobelium” torna a colpire negli Stati Uniti e in Europa

Un altro gruppo di hacker controllati da Mosca (e in particolare dal suo Servizio di spionaggio estero, l’SVR), noto come “Nobelium”, è tornato a far parlare di sé dopo che Microsoft, il 24 ottobre, ha annunciato pubblicamente di averne monitorato le attività più recenti, a partire dallo scorso mese di maggio, e di avere informato oltre 140 rivenditori e fornitori di servizi IT di essere stati presi di mira. Nobelium era già stato identificato nel 2020 come autore delle intrusioni nei sistemi informatici di grandi aziende e agenzie federali statunitensi (incluso il Department of Homeland Security) che utilizzavano una piattaforma software fornita dalla società texana SolarWinds, sfruttando le gravi lacune nella cyber security di quest’ultima. Per le nuove operazioni di hacking, Nobelium avrebbe adottato un approccio diverso rispetto all’anno scorso: non più un codice malevolo inserito in un software legittimo, ma altre tecniche, come il “password spraying” e il “phishing”, per rubare credenziali di accesso alle aziende che gestiscono servizi cloud e altre tecnologie per conto dei loro clienti, con l’obiettivo ultimo di fingersi il partner tecnologico di fiducia delle vittime alle quali si intende sottrarre informazioni. Tali vittime sarebbero per la maggior parte organizzazioni governative e altri organismi, appartenenti agli Stati Uniti e a paesi europei, che si occupano di materie rilevanti per gli interessi del governo russo. Alla data dell’annuncio pubblico di Microsoft, le attività di hacking di Nobelium risultavano ancora in corso.

Il Supply Chain Risk Management Act votato dal Congresso USA

Quattro giorni prima (20 ottobre), a riprova di quanto la minaccia cyber sia diventata una priorità assoluta per la maggiore potenza del mondo, la Camera dei Rappresentanti del Congresso USA ha approvato, quasi all’unanimità, una legge (Supply Chain Risk Management Act) che punta a rafforzare le catene di fornitura dei software e delle tecnologie informatiche prevedendo l’entrata in vigore di una serie di prescrizioni elaborate dal Dipartimento dell’Homeland Security (DHS) alle quali i fornitori di software e tecnologie IT dovranno attenersi in modo tassativo.
Più precisamente, i fornitori del DHS saranno tenuti a inviare al Dipartimento documenti che identifichino le origini di ciascun componente nel software fornito. Il repubblicano Ritchie Torres, vicepresidente della Commissione per l’Homeland Security della Camera e sponsor del disegno di legge, ha dichiarato: “Poiché gli attacchi informatici diventano sempre più frequenti e sofisticati, è fondamentale che il DHS abbia la capacità di proteggere le proprie reti e migliorare la propria conoscenza delle tecnologie informatiche e per le comunicazioni, nonché dei servizi, che acquista”. Dunque, anche grazie al Supply Chain Risk Management Act va delineandosi negli Stati Uniti quel “perimetro di sicurezza cibernetica” al quale lavorano da tempo anche altri paesi alleati degli Stati Uniti, inclusa l’Italia.