Cerca

Il conflitto Russia Ucraina visto dal lato cyber

Le sanzioni guidate dagli Stati Uniti e gli alleati contro la Russia per la sua invasione dell'Ucraina dalla settimana scorsa hanno suscitato una notevole preoccupazione per le ritorsioni e gli attacchi informatici di ricaduta dalla regione alle organizzazioni statunitensi e a quelle con sede in altre nazioni alleate.


Molti si aspettano che gli attacchi rientrino nella gamma di campagne distruttive che coinvolgono l'uso di disk-wiping e ransomware, ad attacchi di DDos, phishing, disinformazione e campagne di influenza… e infatti abbiamo già iniziato ad avere le prime conferme.


E’ noto che gli APT russi hanno agito contro obiettivi del regime in attacchi sociali, psicologici e finanziari in molti paesi. Ora, non c'è dubbio che gli attacchi che hanno iniziato a emergere il mese scorso fanno parte del loro standard per una campagna militare. Questi strumenti utilizzati sulle risorse ucraine sono solo un piccolo esempio delle capacità russe.


Gli esperti di sicurezza prevedono che alcuni degli attacchi saranno presi di mira ed eseguiti da minacce russe sostenute dallo stato. È probabile che altri vengano lanciati da attori in sintonia con gli interessi russi, e altri ancora probabilmente si riverseranno dall'Ucraina e causeranno danni collaterali nello stesso modo in cui ha fatto il malware NotPetya alcuni anni fa.


Il primo di questi (con il marchio WhisperGate) era il presunto ransomware che non era un vero ransomware ma più un malware a due fasi progettato per distruggere tutti i dati sull'HDD o rendere inutilizzabile la macchina.

Un altro esempio, osservato lo stesso giorno in cui è iniziato l'assalto militare, è un wiper HermeticWiper o KillDisk.NCV. tuttavia, campioni di questo malware sono stati datati alla fine di dicembre, il che rende chiaro che questi attacchi erano in corso da molto tempo. Questo wiper abusa dei driver legittimi per condurre le sue azioni distruttive e in almeno un caso è stato avviato dal controller di dominio di Windows. Dovremmo ricordare che questo attacco è stato coordinato con un massiccio attacco DDOS contro diversi governi e istituzioni bancarie ucraine.

Infine, abbiamo anche visto Cyclops Blink che ha sfruttato centinaia di migliaia di dispositivi domestici e di piccole imprese ed è stato attribuito al gruppo di hacker Sandworm sostenuto dalla Russia che in precedenza aveva attaccato obiettivi ucraini.


Le aziende che hanno fatto o stanno facendo affari in Ucraina dovrebbero aspettarsi il peggio e assicurarsi che tutti i loro controlli di sicurezza siano il più aggiornati possibile. Il monitoraggio dell'abuso delle credenziali è particolarmente importante.


La US Cybersecurity and Infrastructure Security Agency ha raccomandato alle organizzazioni che lavorano con le controparti ucraine di prestare particolare attenzione a "monitorare, ispezionare e isolare il traffico da tali organizzazioni" e di rivedere i controlli di accesso per quel traffico. Il consiglio fa parte di un lungo elenco di suggerimenti che la CISA ha raccolto in un documento chiamato Shields Up.


C'è una ragionevole possibilità che le organizzazioni che operano nella regione, ma non specificamente l'Ucraina, come Polonia, Romania, Estonia, Lettonia, Lituania o Moldova, diventino vittime di danni collaterali da attacchi progettati per avere un impatto sull'Ucraina.


La scoperta la settimana scorsa in Ucraina del malware "wiper", che cancella permanentemente i dati sui computer infetti, ha accelerato la corsa delle aziende per rafforzare le loro difese, per evitare che si diffondesse in altri paesi

Anche i gruppi di infrastrutture critiche, come istituzioni finanziarie, oleodotti, compagnie aeree ed elettriche, sono stati esortati a prepararsi alla possibilità di attacchi debilitanti da parte della Russia o di attori affiliati alla Russia, come gruppi criminali di ransomware, in caso di escalation della guerra informatica

Infatti, la US Cybersecurity and Infrastructure Security Agency ha avvertito delle "conseguenze per le infrastrutture critiche della nostra nazione", esortando le aziende statunitensi a rafforzare le loro difese con lo slogan "scudo in alto".

Giovedì il presidente Joe Biden ha accennato alla possibilità di una risposta tit-for-tat: "Se la Russia persegue attacchi informatici contro le nostre aziende, la nostra infrastruttura critica, siamo pronti a rispondere".


In particolare, si teme che il malware wiper scoperto la scorsa settimana, in agguato in alcuni sistemi informatici ucraini da dicembre, possa diffondersi.

Un malware simile del 2017, soprannominato "NotPetya" e attribuito dall'intelligence statunitense alla Russia, aveva causato danni per 10 miliardi di dollari ai sistemi informatici in tutto il mondo dopo aver "saltato i binari" degli obiettivi ucraini che era stato progettato per disabilitare e colpire grandi aziende come Maersk.


Questa volta, il malware inizialmente non sembra diffondersi altrettanto velocemente, ma distrugge i dati in modo così efficiente da rendere inutilizzabili i sistemi infetti. È simile a un malware wiper scoperto a gennaio da Microsoft che si era già diffuso ai computer in Lettonia e Lituania, entrambi paesi della Nato. Nessuno dei due malware è stato attribuito direttamente alla Russia.


Alcuni siti web del governo ucraino sono stati bloccati da attacchi "denial of service", in cui gli hacker utilizzano i bot di tutto il mondo per far crollare i siti web inondandoli di richieste di informazioni. Gli Stati Uniti hanno attribuito uno di questi attacchi direttamente alla Russia.


Suzanne Spaulding, esperta di sicurezza presso il Center for Strategic and International Studies ed ex alto funzionario del Dipartimento per la sicurezza interna degli Stati Uniti, ha avvertito che la Russia potrebbe anche lanciare dolorosi attacchi ransomware se la guerra informatica dovesse intensificarsi e campagne di disinformazione progettate per destabilizzare i mercati.


Questi potrebbero non provenire direttamente dallo stato russo ma da gruppi criminali affiliati allo stato o altri "surrogati", secondo Mike Rogers, ex direttore dell'Agenzia per la sicurezza nazionale, che ha aggiunto che ciò consente alla Russia una negazione più plausibile per gli attacchi.


Per esempio, venerdì, il famigerato gruppo di ransomware criminale Conti, responsabile di un grande attacco lo scorso anno al sistema sanitario irlandese, ha annunciato che avrebbe prestato al governo russo il suo “pieno sostegno” e avrebbe usato le sue risorse per “rispondere alle critiche infrastrutture di un nemico”.


Le organizzazioni senza alcun legame con la regione corrono il rischio maggiore di diventare vittime di attori di minacce indipendenti con sede in Russia che cercano di causare danni all'Occidente e percepiti come nemici dello stato russo.

Consigliamo alle aziende di assicurarsi che l'infrastruttura dei propri siti sia aggiornata con le ultime patch, utilizzando l’autenticazione a più fattori, etc, oltre che assicurarsi che siano fatti backup continui.



E’ importante minimizzare la superficie di attacco Le organizzazioni dovrebbero convalidare la propria posizione di sicurezza cercando i confini di rete/DMZ esposti. Monitorare il traffico in uscita alla ricerca di segnali di malware sulla rete che chiamano una destinazione di comando e controllo. Sebbene il malware di stato nazionale possa essere estremamente difficile da individuare, nella maggior parte dei casi il malware deve comunicare in qualche modo.

È probabile che molte organizzazioni si percepiscano come a basso rischio di attacchi informatici russi. Ma anche se potrebbe essere vero che non sono obiettivi specifici, è altrettanto probabile che vengano coinvolti in attacchi opportunistici da parte di attori della minaccia simpatizzanti per la Russia o diventino vittime di danni collaterali.


Ecco perché è una buona idea, ora più che mai, per tutte le organizzazioni rivedere e rafforzare la propria posizione di sicurezza.