Fin dall’inizio la guerra tra Russia e Ucraina si è combattuta anche sul fronte digitale – anzi, la cyber war condotta dagli hacker è iniziata molto prima che entrassero in campo gli eserciti, secondo quanto scoperto dai ricercatori di Eset. La società di cybersicurezza sta ricostruendo le campagne offensive verso le organizzazioni ucraine messe in atto in questo ultimo periodo e ha scoperto due nuove famiglie di malware wiper che aggrediscono le organizzazioni ucraine.
Le ripercussioni sono di ampia portata e il governo italiano ha già provveduto a creare un “Nucleo per la cybersicurezza per condividere le informazioni raccolte e istituito un tavolo permanente sulla crisi in atto”, come annunciato dal presidente del Consiglio Mario Draghi, mentre il Csirt ha esortato le imprese e le amministrazioni ad alzare i livelli di attenzione in vista di eventuali cyberattacchi.
“L’evoluzione dello scenario è particolarmente rapida e una ulteriore escalation consisterà inevitabilmente di azioni efficaci in tempi fulminei. È importante che la reazione a possibili attacchi sia tempestiva e coordinata”, afferma Claudio Telmon, membro del comitato direttivo Clusit, l’Associazione italiana per la sicurezza informatica che ha appena pubblicato un vademecum per le imprese.
Intanto l’Ucraina tenta una nuova carta: secondo Rolling Stone, Kiev ha chiesto all’Icann, l’ente che gestisce gli indirizzi degli Internet provider e che è responsabile della gestione e del coordinamento del sistema Dns (Domain name system), di disconnettere tutti i siti russi da internet. Si tratta di una richiesta inedita e che probabilmente sarà respinta, ma per il governo ucraino, in particolare, chiudere i server Dns collocati in Russia e sospendere i domini come ‘.ru’ aiuterebbe a contrastare gli attacchi informatici russi che “ostacolano la capacità di comunicazione dei cittadini ucraini e del governo”, aiutando gli utenti a “cercare informazioni affidabili prevenendo la propaganda e la disinformazione”.
L’analisi di Eset: due nuove famiglie di malware wiper
La società di cybersicurezza Eset sta ricostruendo le campagne offensive verso le organizzazioni ucraine messe in atto in questo ultimo periodo. Mentre l’invasione russa prendeva il via, i ricercatori di Eset hanno scoperto due nuove famiglie di malware wiper che aggrediscono le organizzazioni ucraine. Il primo cyberattacco è iniziato poche ore prima dell’invasione militare russa e dopo gli attacchi DDoS (distributed denial-of-service) contro i principali siti web ucraini all’inizio della giornata dello scorso 23 febbraio.
Questi attacchi distruttivi hanno sfruttato almeno tre componenti: HermeticWiper per la cancellazione dei dati, HermeticWizard per la diffusione sulla rete locale, e HermeticRansom che agisce come ransomware esca. Gli artefatti del malware suggeriscono che gli attacchi erano stati pianificati per diversi mesi.
Il 24 febbraio è iniziato un secondo attacco distruttivo contro una rete governativa ucraina, tramite un wiper che Eset Research ha chiamato IsaacWiper e di cui non è ancora chiaro il collegamento con HermeticWiper.
I ricercatori di Eset ritengono altamente probabile che le organizzazioni colpite siano state compromesse ben prima della distribuzione del wiper. Eset Research non è ancora stata in grado di attribuire questi attacchi a un attore di minacce a causa della mancanza di qualsiasi similitudine significativa del codice con altri campioni nella banca dati di malware di Eset.
Proofpoint: possibile cyber fronte in Bielorussia
I ricercatori di cybersecurity di Proofpoint hanno rilasciato nuove informazioni sulle minacce che mostrano una probabile attività informatica sponsorizzata dalla Bielorussia, rivolta al personale governativo europeo coinvolto nella gestione della logistica dei rifugiati in fuga dal conflitto in Ucraina.
La società di sicurezza informatica ha rilevato una campagna mirata di phishing, che distribuisce malware noto come ‘SunSeed’, e che ha origine da un account e-mail compromesso di un membro delle forze armate ucraine. Proofpoint attribuisce ipoteticamente questa attività a un gruppo di minacce noto come Ta445 (Ghostwriter/ Unc1151), che sembra operare dalla Bielorussia, e ha alle spalle una storia di impegno in numerose operazioni di disinformazione volte a influenzare l’atteggiamento europeo rispetto al movimento dei rifugiati nei paesi della Nato.
Alla luce della guerra Russia-Ucraina in corso, le azioni di attori proxy come Ta445 continueranno a prendere di mira i governi europei per raccogliere informazioni sul movimento dei rifugiati dall’Ucraina e su questioni rilevanti per il governo russo. Questa attività indica un utilizzo militare dei migranti e dei rifugiati di guerra attraverso un modello ibrido di guerra di informazione e attacchi cyber mirati.
Le raccomandazioni di Clusit per le imprese italiane
Clusit raccomanda in primo luogo ad imprese istituzioni italiane di seguire con attenzione le comunicazioni e le indicazioni che vengono tempestivamente fornite dal Csirt nazionale, il Computer security incident response team italiano, attivo nel fornire indicazioni di scenario e su minacce e vulnerabilità specifiche. Grazie al continuo coordinamento con attori a livello europeo ed internazionale, il nostro Csirt dispone infatti di informazioni tempestive a cui altre fonti potrebbero non avere accesso.
Quattro sono poi i punti fondamentali su cui l’Associazione italiana per la sicurezza informatica esorta la massima allerta:
1. Aumentare il livello di attenzione a possibili anomalie che possano essere indicative di attacchi in corso. “Questa indicazione non riguarda solo le aziende che abbiano rapporti con l’Ucraina o la Russia ma, indistintamente, tutte le organizzazioni; infatti, nel momento in cui l’evoluzione dello scenario portasse l’Italia ad essere più direttamente oggetto di attacco, gli eventi si potrebbero sviluppare molto rapidamente”, precisa Telmon.
2. Cogliere l’occasione per ricordare al proprio personale le politiche aziendali in termini di sicurezza delle informazioni, rinnovando in particolare l’attenzione alle regole di comportamento per evitare di essere oggetto di attacchi di phishing o veicolo di attacchi da parte di malware.
3. Verificare l’efficacia delle proprie misure di sicurezza, comprese quelle per assicurare la disponibilità di servizi e informazioni anche in caso di attacchi importanti ai propri sistemi; in particolare, verificare almeno la disponibilità e la correttezza di backup aggiornati e offline e, dove presenti, l’efficacia dei processi e meccanismi di disaster recovery.
4. Assicurare che servizi di early warning e threat intelligence eventualmente acquisiti come servizio siano attivi, funzionanti e, da non sottovalutare, che siano monitorati.
Yarix: conflitto ibrido, ecco come difendersi
Questo conflitto ibrido, che unisce azioni militari e strategie di cyber war supportata dalla diffusione di fake news, “non è che un nuovo capitolo di una guerra cominciata ben prima: nelle scorse settimane si è assistito ad un’ondata di attacchi DDoS e defacement contro siti governativi istituzionali e di banche ucraine. E, tornando indietro di qualche anno, ricordiamo gli attacchi informatici russi con obiettivo la rete elettrica ucraina durante la stagione invernale nel 2015 e nel 2016 (BlackEnergy) l’offensiva di NotPetya nel 2017″, evidenzia Mirko Gatto, Ceo di Yarix, divisione cyber security di Var Group. “Ma non solo l’Ucraina tra le vittime: si pensi al malware NotPetya, diretto ai sistemi ucraini ma diffusosi poi in tutto il mondo, tra cui l’Italia”.
Gatto ricorda come l’utilizzo di bot farm, account falsi in grado di far circolare notizie non veritiere per manipolare il sentiment, abbiano messo piede in Ucraina prima delle truppe: solo lo scorso febbraio lo stesso Paese, oggi colpito anche fisicamente, ha dichiarato di aver eliminato una presunta bot farm russa con 18mila account falsi all’attivo.
Ad accelerare il conflitto nel quinto dominio e a renderlo noto all’opinione pubblica, il coinvolgimento del più grande gruppo hacker al mondo, Anonymous, che con un attacco mirato attraverso tecniche di Ddos (Distributed Denial of Service), ha colpito i siti web di Duma e Cremlino, il ministero dell’Energia russo e decine di altri website sia governativi che di aziende.
L’efficienza cyber è dunque a tutti gli effetti un’arma di cui dotare il proprio arsenale e, d’altro canto, è sempre più necessario alzare l’attenzione preparando una difesa su più fronti. “È bene assicurarsi che i propri sistemi abbiano una corretta gestione delle patch contro le vulnerabilità dando priorità ai sistemi esposti includendo web mail, VPN e sistemi di accesso remoto”, afferma Gatto. “Bisogna prepararsi contro attacchi mirati alla distruzione dei dati disponendo di backup fuori linea e assicurarsi di testare i piani di recovery che coprano tutti gli oggetti di business. Bisogna essere reattivi: è necessario individuare figure chiave in tutte le aree dell’organizzazione e definire metodi di comunicazione testati. Inoltre, evitare qualsiasi servizio e navigazione non necessaria per il business”.
