Fancy Bear, il noto gruppo di cyber-spionaggio sponsorizzato dallo stato russo, ha spiato “decine” di organizzazioni appartenenti a paesi occidentali e membri della NATO, monitorando i flussi di aiuti diretti in Ucraina. Lo rivela un avviso congiunto sulla cybersicurezza [PDF], pubblicato da 21 agenzie governative di Stati Uniti, Regno Unito, Canada, Germania, Francia, Repubblica Ceca, Polonia, Austria, Danimarca e Paesi Bassi.
Secondo il rapporto, Fancy Bear (conosciuto anche come APT28) ha preso di mira fornitori logistici, aziende tecnologiche e organizzazioni governative coinvolte nel trasporto degli aiuti verso l’Ucraina.
Tutti i mezzi di trasporto sono stati oggetto dell’operazione, inclusi trasporto aereo, navale e ferroviario, e le organizzazioni colpite appartengono a diversi settori: difesa, trasporti, gestione del traffico marittimo e aereo, e infine ai servizi IT.
APT28 ha spiato aziende e videocamere di frontiera in 13 Paesi
Le aziende colpite operavano in Bulgaria, Repubblica Ceca, Francia, Germania, Grecia, Italia, Moldavia, Paesi Bassi, Polonia, Romania, Slovacchia, Ucraina e Stati Uniti. Inoltre, gli hacker monitoravano anche videocamere di sorveglianza (CCTV) ai valichi di frontiera, con lo stesso obiettivo.
Per ottenere l’accesso iniziale, APT28 ha utilizzato attacchi a forza bruta e tentativi di indovinare le credenziali, oltre a campagne di spearphishing e allo sfruttamento di vulnerabilità software. In particolare, il gruppo ha fatto leva sulla vulnerabilità CVE-2023-23397, prendendo di mira Microsoft Exchange, Roundcube Webmail e WinRAR per infiltrarsi nei sistemi.
Dopo aver compromesso la rete, gli attaccanti si sono spostati lateralmente utilizzando strumenti come PsExec e Impacket, colpendo anche VPN aziendali e database SQL vulnerabili. Hanno manipolato i permessi delle caselle email e sfruttato Tor e VPN per restare anonimi e monitorare le comunicazioni sensibili.
Il conflitto tra Russia e Ucraina ha dimostrato quanto la guerra moderna si estenda ormai anche al cyberspazio, oltre ai fronti tradizionali di terra, mare e aria. Hacker e gruppi criminali colpiscono informazioni sensibili e infrastrutture critiche su entrambi i lati.
“L’attacco deve servire da promemoria: i sistemi cyber-fisici sono oggi obiettivi strategici per gli avversari,” ha commentato Andrew Lintell, General Manager EMEA di Claroty. “Per contrastare questa minaccia, le organizzazioni devono avere piena visibilità di questi ambienti e adottare un approccio basato sul rischio. Molti dispositivi, come le telecamere di sorveglianza, non sono stati progettati pensando alle minacce attuali e sono quindi punti d’ingresso sempre più vulnerabili.”
Via The Register