Una maxi operazione di hackeraggio di raccolta di informazioni di politica estera e di sicurezza nell’Europa orientale e nel Caucaso meridionale. Secondo un report di F-Secure, il Gruppo Callisto – questo il nome dei cybercriminali – è una realtà altamente motivata e dotata di buone risorse che ha, appunto, condotto attacchi informatici verso personale militare, ufficiali governativi, giornalisti e gruppi di esperti a partire almeno dal 2015.
Ma Il Gruppo Callisto avrebbe preso di mira anche i sistemi IT del Foreign Office britannico. Secondo la Bbc le autorità britanniche non hanno potuto rivelare quali dati siano stati sottratti ma una fonte del ministero degli Esteri ha riferito all’emittente pubblica che le informazioni più sensibili non erano contenute nei database presi di mira.
F-Secure fornisce dettagli sul modello che il gruppo utilizza per compromettere le proprie vittime. Si tratta di attacchi di phishing estremamente mirati per rubare credenziali di account email, così come email di spear phishing molto personalizzate e convincenti per infettare le loro vittime con del malware. Queste email di spear phishing sono state inviate da account email compromessi da precedenti attacchi di phishing del gruppo.
Il malware rilasciato è stato progettato per rubare informazioni dalle vittime, e per infettarle con altro malware che è una una variante dell’agent Scout sviluppato dall’azienda italiana di sorveglianza HackingTeam. Scout era parte di un toolset spyware che HackingTeam vendeva alle agenzie governative, rubato ed apparso online nel 2015.
L’infrastruttura del gruppo ha collegamenti con entità in Russia, Ucraina e Cina, ma non offre conclusioni definitive su chi sta dietro questo gruppo. Si evidenzia anche che mentre vi sono prove che suggeriscono che il gruppo abbia legami con uno Stato, i dettagli di questa relazione non sono chiari.
“Agiscono come attaccanti di Stato, ma ci sono prove che li collegano anche a infrastrutture usate dai criminali – spiega Sean Sullivan, F-Secure Security Advisor -Quindi potrebbe trattarsi di un gruppo indipendente che è stato ingaggiato da un governo per fare questo lavoro, o eventualmente potrebbero agire per conto proprio con l’intento di vendere le informazioni a un ente governativo o di intelligence. Ma ci sono diverse spiegazioni, oltre a queste, e non possiamo dire con certezza quale sia quella reale sulla base delle evidenze attuali”.
Secondo Erka Koivunen, Chief Information Security Officer di F-Secure, l’uso da parte del Gruppo Callisto dello spyware progettato per le forze dell’ordine è un duro monito sui pericoli delle tecnologie di sorveglianza. “L’uso di spyware utilizzati in ambito governativo da parte di attaccanti non dovrebbe sorprendere. Gli strumenti di sorveglianza sono per loro stessa natura progettati per invadere la privacy delle persone. Nelle democrazie ben funzionanti queste ‘azioni invasive’ sono eseguite su mandato di legge, e i cittadini si affidano alle autorità affinché vengano utilizzate in modo responsabile con controlli adeguati e un certo equilibrio di base,” spiega Koivunen. “Ma le violazioni di dati e la conseguente successiva perdita di strumenti di sorveglianza di livello professionale forniscono a queste capacità invasive gradi di minaccia differenti. Questo dovrebbe ricordare ai governi che non abbiamo l’esclusivo controllo su queste tecnologie, e che mercenari, Stati ostili, e altre minacce non esiteranno a usare questi poteri di sorveglianza contro di noi”.