La dichiarazione di guerra emanata dal Presidente degli Stati Uniti contro il nemico invisibile che minaccia le infrastrutture strategiche del Paese (Executive Order on Improving the Nation’s Cybersecurity) sembra non aver generato particolari preoccupazioni tra i cybercriminali. È stato infatti da poco pubblicato da Microsoft un report che identifica il responsabile degli attacchi della scorsa settimana contro agenzie del governo, think tanks e organizzazioni non governative: Nobelium.
Ancora tu, ma non dovevamo vederci più? direbbe Battisti, e avrebbe ragione da vendere. Nobelium è proprio il gruppo che ha operato nell’eclatante attacco a SolarWinds nel 2020 e si ritiene sia sponsorizzato direttamente dal Cremlino.
Questa volta l’assalto ha riguardato più di 150 organizzazioni con attacchi ad oltre 3mila account e-mail. Molti di questi sono stati fortunatamente sventati dall’azione del Defender di Windows, che è riuscito a rilevare il malware prima che questi andasse a segno. Nonostante ciò i danni che ha generato sono notevoli e per più di un quarto dei casi riguardano persone coinvolte in iniziative di cooperazione allo sviluppo e progetti per la tutela dei diritti dei lavoratori, o più in generale dei diritti umani.
Tutto ha avuto inizio dopo che il gruppo di pirati informatici è riuscito a infiltrarsi in un account usato dall’Agenzia Statunitense per lo Sviluppo Internazionale (USAID), in particolare dal servizio di Constant Contact. Quest’ultimo è risultato particolarmente strategico perché si occupa di invio di e-mail a scopi promozionali, dunque ha costituito il mezzo ideale attraverso cui diffondere link malevoli sotto una maschera istituzionale.
Gli hacker hanno costruito una formidabile macchina da guerra del phishing, capace di spalancare le porte ad un malware noto come NativeZone ad ogni click di un malcapitato sul link allegato alla mail infetta. Grazie a questo malware i cybercriminali si sono assicurati la possibilità di sottrarre dati e di infettare altri computer nella stessa rete.
La compromissione di Constant Contact mostra una via di attacco decisamente allarmante. Come potremo distinguere la bontà di una mail se non possiamo neanche fidarci del fatto che ci è stata recapitata da un’istituzione di cui ci fidiamo? Secondo Microsoft per le aziende e le istituzioni c’è ancora possibilità di difendersi. È necessario mettere in atto una strategia rivolta ad una buona educazione alla sicurezza digitale per i dipendenti e un continuo aggiornamento delle tecniche per il rilevamento di ogni possibile minaccia si aggiri nella propria sottorete.
Come si accennava in precedenza il gruppo di hacker Nobelium sta agendo su commissione, di fatti il Rapporto inserisce l’attacco nel filone delle guerre informatiche sponsorizzate dagli Stati. Per contrastarle si suggerisce che siano stabilite regole chiare a livello internazionale per il controllo delle attività nel cyberspazio, con sanzioni automatiche per chi le vìoli. In un periodo storico in cui il multilateralismo è in crisi si stenta a crede che ciò possa essere possibile.
