Istituzioni ucraine colpite da criminali russi con BlackEnergy

By
Luca Sambucci
-

Diversi attacchi recentemente perpetrati ai danni di alcune istituzioni ucraine fanno pensare ad azioni mirate provenienti dalla Russia.

I ricercatori della finlandese F-Secure hanno recentemente pubblicato un rapporto che analizza le attività del malware noto come “BlackEnergy” all’interno delle reti informatiche di alcune organizzazioni ucraine, fra cui le Ferrovie nazionali e la città di Dnipropetrovsk. Lo stesso malware, a detta dei ricercatori di un’altra azienda di sicurezza, la slovacca ESET, avrebbe colpito indistintamente sia aziende e organizzazioni ucraine sia polacche.

Il malware arriva all’interno di documenti infetti inviati con messaggi di phishing, per la maggior parte inerenti tematiche di politica e di economia. Il dettaglio è rilevante, perché fa capire quale sia il tipo di target ricercato dal gruppo di criminali. Il malware sfrutta quindi dei proxy all’interno delle reti colpite, segno che gli hacker avevano già effettuato azioni di ricognizione per capire che alcune reti hanno bisogno di proxy per far uscire i propri utenti su Internet.

Le informazioni rubate dal malware sono rilevanti:

  • configurazione del sistema infetto
  • privilegi
  • applicazioni installate
  • tavole di routing
  • password di numerosi programmi di posta
  • password dei siti web salvate nei browser

Alcune fonti hanno ipotizzato che il gruppo criminale abbia prestato i propri servizi al Governo russo sia per la specificità dei target, sia perché attacchi simili – perpetrati con una versione precedente dello stesso malware – erano stati già lanciati contro organizzazioni georgiane durante la crisi del 2008 fra Russia e Georgia.

La commistione fra governi e gruppi criminali è molto frequente quando si parla di cyberwarfare, poiché negabilità e irrintracciabilità sono elementi essenziali delle black ops informatiche.

Fonti:
https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf
http://www.welivesecurity.com/2014/09/22/back-in-blackenergy-2014/
http://www.theguardian.com/technology/2014/sep/25/russian-malware-privateer-hackers-ukraine

Luca Sambucci
Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.