Istituzioni ucraine colpite da criminali russi con BlackEnergy
Cyber

Istituzioni ucraine colpite da criminali russi con BlackEnergy

Diversi attacchi recentemente perpetrati ai danni di alcune istituzioni ucraine fanno pensare ad azioni mirate provenienti dalla Russia.

I ricercatori della finlandese F-Secure hanno recentemente pubblicato un rapporto che analizza le attività del malware noto come “BlackEnergy” all’interno delle reti informatiche di alcune organizzazioni ucraine, fra cui le Ferrovie nazionali e la città di Dnipropetrovsk. Lo stesso malware, a detta dei ricercatori di un’altra azienda di sicurezza, la slovacca ESET, avrebbe colpito indistintamente sia aziende e organizzazioni ucraine sia polacche.

Il malware arriva all’interno di documenti infetti inviati con messaggi di phishing, per la maggior parte inerenti tematiche di politica e di economia. Il dettaglio è rilevante, perché fa capire quale sia il tipo di target ricercato dal gruppo di criminali. Il malware sfrutta quindi dei proxy all’interno delle reti colpite, segno che gli hacker avevano già effettuato azioni di ricognizione per capire che alcune reti hanno bisogno di proxy per far uscire i propri utenti su Internet.

Le informazioni rubate dal malware sono rilevanti:

  • configurazione del sistema infetto
  • privilegi
  • applicazioni installate
  • tavole di routing
  • password di numerosi programmi di posta
  • password dei siti web salvate nei browser

Alcune fonti hanno ipotizzato che il gruppo criminale abbia prestato i propri servizi al Governo russo sia per la specificità dei target, sia perché attacchi simili – perpetrati con una versione precedente dello stesso malware – erano stati già lanciati contro organizzazioni georgiane durante la crisi del 2008 fra Russia e Georgia.

La commistione fra governi e gruppi criminali è molto frequente quando si parla di cyberwarfare, poiché negabilità e irrintracciabilità sono elementi essenziali delle black ops informatiche.

Fonti:
https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf
http://www.welivesecurity.com/2014/09/22/back-in-blackenergy-2014/
http://www.theguardian.com/technology/2014/sep/25/russian-malware-privateer-hackers-ukraine

Luca Sambucci

Luca Sambucci lavora nel settore della sicurezza informatica dal 1991, occupandosi di malware e sistemi di difesa informatica. È stato consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti e ha collaborato sui medesimi temi con Telespazio (gruppo Finmeccanica) e Fondazione Ugo Bordoni. Si occupa di nuove tecnologie, malware e cyber warfare, è risk analyst certificato NSA e membro dell'Associazione Italiana esperti in Infrastrutture Critiche. È Operations Manager di ESET Italia.

No Comments

comment No comments yet

You can be first to leave a comment

Leave a Reply

Your email address will not be published. Required fields are marked *