Come confermato dai più recenti episodi, la cyberwar continua ad essere combattuta fra gli Stati, ma le vere vittime sono imprese, organizzazioni e cittadini, che ne subiscono gli effetti. Allo stesso tempo, si assottiglia la linea di separazione tra azioni statali e “semplice” criminalità informatica. Cosa sta succedendo
La cyberwar non conosce pause e anzi, sembra essersi intensificata: lo abbiamo imparato col recente attacco a SolarWinds, di cui ancora si tenta di delineare i contorni, e ne abbiamo avuto conferma con i recenti attacchi ai server Exchange di Microsoft e la campagna di disinformazione russa contro i vaccini occidentali ne sono la prova.
Indice degli argomenti
L’attacco ai server Exchange di Microsoft
L’attacco a SolarWinds, di cui gli USA accusano la Russia, aveva colto tutti di sorpresa per l’approccio furtivo che aveva permesso agli attaccanti, per circa un anno, di rimanere nei sistemi senza svelare la compromissione della supply chain.
L’attacco a Exchange, invece, oltre ad essere di probabile matrice cinese, denota un approccio molto più rischioso e volto ad infettare quanti più sistemi possibile. Infatti, specialmente dopo il rilascio delle patch da parte di Microsoft, è stato rilevato un forte incremento di attività. Le stime iniziali parlavano di oltre 30.000 vittime, ma i numeri sono senz’altro destinati a salire, considerando che le patch sono state rilasciate il 2 marzo, ma gli informatici della Devcore avevano individuato il primo bug già agli inizi di dicembre e informato la Microsoft il 5 gennaio. Anche la copertura mediatica dei due casi è stata differente, probabilmente per l’assenza, finora, di vittime fra le agenzie governative federali statunitensi.
Dinamica e attori coinvolti
L’attacco si basa sullo sfruttamento di 4 vulnerabilità 0-day, rinominate ProxyLogon, che interessano Exchange Server 2013, 2016 e 2019 che, combinate fra loro, permettono di eseguire codice remoto, installare backdoor, prendere il controllo dei server e lanciare altri malware. Una volta avuto accesso al server, la creazione di una web shell permette di prendere il controllo del sistema ed eseguire comandi da remoto. Per la natura stessa degli attacchi 0-day e per l’impossibilità di operare un controllo su software proprietario, non è possibile stabilire con certezza se le falle in questione fossero già state sfruttate silenziosamente da tempo.
Il Microsoft Threat Intelligence Center (MSTIC) ha accusato dell’attacco il gruppo “Hafnium”, di origine cinese, con un post dall’inequivocabile titolo “Nuovi attacchi cyber statali”. Tuttavia, come riportato dalla società di sicurezza slovacca ESET, al gruppo originale, impegnato in sofisticate azioni di cyber spionaggio ai danni di industrie, istituzioni e organizzazioni statunitensi, si sarebbero aggiunti almeno altri 10 APT (Advanced Persistent Threat) quali Tick, LuckyMouse e il Winnti Group. Dalle loro rilevazioni le web shell sarebbero state implementate in almeno 5.000 server in oltre 115 paesi. Infatti, nonostante l’ovvia raccomandazione di aggiornare i sistemi vulnerabili come indicato, tra gli altri, dalla CISA (U.S. Cybersecurity & Infrastructure Security Agency), ci potrebbe volere diverso tempo affinché tutte le realtà che utilizzano Exchange, specialmente quelle medio-piccole, applichino le necessarie patch di sicurezza.
La stessa Microsoft ha fornito una lista di IOC (Indicatori di Compromissione) per aiutare gli utenti a scoprire se sono stati infettati. In questo lasso di tempo, gli attaccanti stanno provvedendo da un lato ad infettare quanti più sistemi possibile, dall’altro a penetrare ulteriormente nei sistemi già compromessi aggiungendo backdoor o altri malware per assicurarsi l’accesso a credenziali di livello più elevato. Si corre anche il rischio che ai problemi di spionaggio di e-mail e dati confidenziali, si possa affiancare una massiccia campagna di ransomware verso tutte le realtà compromesse, con potenziali danni difficili da quantificare vista la portata ed estensione degli attacchi.
La minaccia dei ransomware
In effetti, già il 9 marzo sono state rilevate le prime evidenze di attacchi di questo tipo. Come confermato dalla stessa Microsoft, il ransomware DearCry è stato installato in alcuni server Exchange proprio sfruttando le vulnerabilità Proxylogon. Il malware provvede a cifrare i dati con una combinazione degli algoritmi AES-256 e RSA-2048 e avanzare una richiesta di riscatto che in alcuni casi è stata di $16.000: non esistono al momento procedure per recuperare i file. Inoltre, a dimostrazione dei rischi della proliferazione incontrollata di armi cyber, nonché della relativa facilità di utilizzo, sono già disponibili in rete i primi Proof-of-Concept (PoC) degli exploit utilizzati dagli attaccanti. Nonostante gli sforzi di Microsoft per eliminarle dalla rete, le istruzioni su come sfruttare le vulnerabilità risultavano disponibili su piattaforme quali GitHub per qualunque attore malevolo che volesse accodarsi alla campagna di attacchi.
Obiettivi in Europa
La lista di vittime, anche illustri, non fa che allungarsi di giorno in giorno. A riprova della portata globale della campagna di attacchi, sono numerose le organizzazioni che ne sono state vittima anche nel vecchio continente. L’Autorità Bancaria Europea (EBA) ha rivelato con una nota di essere stata oggetto dell’attacco e di avere assunto la misura precauzionale di porre offline i server di posta elettronica dal momento che sono ancora in corso le indagini per appurare se siano stati sottratti dati. A differenza dell’EBA, il Parlamento norvegese ha purtroppo confermato che gli attaccanti hanno avuto successo nell’estrarre dati dal server. Il presidente del parlamento ha tenuto a sottolineare come si tratti di “un attacco alla nostra democrazia” dal momento che avviene in periodo preelettorale e con l’assemblea occupata ad affrontare la pandemia. D’altra parte, i loro server di posta elettronica erano già stati attaccati lo scorso agosto dall’APT28 (unità hacker russa nota anche come “Fancy Bear”) con relativa compromissione di alcuni account di rappresentanti e dipendenti.
La campagna di disinformazione russa sui vaccini
Nonostante possa sembrare che lo scenario della cyberwar sia in questi giorni dominato dalla sola Cina, le attività di information warfare portate avanti dalla Russia continuano a colpire soprattutto la narrativa sui vaccini.
Come riportato dal Wall Street Journal, le agenzie di intelligence del Cremlino starebbero portando avanti una campagna di disinformazione contro i rivali del vaccino russo Sputnik V facendo ampio utilizzo del dominio informativo cyber.
Il Global Engagement Center del Dipartimento di Stato USA, deputato al controllo della disinformazione da parte di intelligence straniere, ha reso noto il coinvolgimento diretto delle varie branche dei servizi russi nella gestione di siti web impegnati a diffondere attivamente campagne denigratorie verso i vaccini occidentali. Nello specifico, il sito “News Front” sarebbe gestito dall’FSB (agenzia erede del KGB), il “Rebel Inside” dal GRU (agenzia di intelligence militare), mentre il “New Eastern Outlook” e l’”Oriental Review” dall’SVR (agenzia per l’intelligence estera). Basandosi su notizie false o non confermate e sollevando dubbi sull’iter di approvazione e sull’efficacia dei vaccini occidentali, starebbero tentando di condizionare l’opinione pubblica e favorire il proprio siero nazionale.
La disinformazione sfrutta ampiamente i canali social e le varie piattaforme hanno già provveduto a oscurare quasi tutti quelli riferibili o affiliati alle testate che riportavano notizie false. Tuttavia, come evidenziato nel rapporto del German Marshall Fund, gli stessi stati, tramite i loro canali social o delle agenzie di stampa governative, riportavano notizie negative sui vaccini rivali. In particolare, l’86% dei tweet russi analizzati tra novembre e febbraio avrebbero indicato in termini negativi il siero Pfizer.
Conclusioni
Gli ultimi mesi del 2020 e i primi del 2021 hanno presentato un ricco scenario per quanto riguarda gli attacchi sponsorizzati dagli stati nazionali, siano essi diretti a penetrare sistemi per raccogliere informazioni o a condizionare le masse per fini di influenza diplomatica e geopolitica.
Come visto con gli attacchi ai server Exchange, la sottile linea di separazione tra azioni statali e di semplice criminalità informatica si va assottigliando: vulnerabilità nate per spiare vengono poi sfruttate da cyber criminali per fini estorsivi privati, portando oltre al danno per il sistema paese quello per la singola realtà colpita.
Anche nel caso della disinformazione legata ai vaccini, una linea d’azione statale che ha come fine insinuare il dubbio nell’opinione pubblica riguardo un argomento così delicato, può avere come esito ultimo la compromissione del piano vaccinale dei vari paesi e rallentare la lotta alla pandemia.
In definitiva, in entrambi i casi le vittime inconsapevoli della cyberwar sembrano essere gli stessi ignari cittadini.
