Telefonata a Meloni

Non chiamiamoli comici russi, a beffare l’Italia è il social engineering

Home Sicurezza digitale
Indirizzo copiato

Il collettivo TA499, noto anche come duo comico Vovan e Lexus, è riconosciuto come threat actor professionista e ha recentemente attirato l’attenzione in Italia per la telefonata fake alla Premier Giorgia Meloni. Nonostante le loro attività possano apparire goliardiche, le loro manovre hanno serie ripercussioni sulla reputazione e la credibilità delle persone e istituzioni colpite

Pubblicato il 9 nov 2023
Enrico Frumento

Cybersecurity Research Lead

Cybercrime as a service: l'evoluzione dei modelli e le nuove strategie aziendali

Il gruppo TA499 è salito alla cronaca recente in Italia per il famoso scherzo al Presidente del Consiglio Meloni, di cui hanno parlato tutte le testate giornalistiche a cavallo della fine ottobre ed inizio novembre (ad esempio qui l’audio della telefonata diffuso dal Corriere della Sera e qui un intervento il giorno successivo, alla trasmissione Otto e mezzo condotto da Lilli Gruber, con l’intervista ad uno degli autori, Lexus).

Scherzo telefonico a Giorgia Meloni: parla in esclusiva il comico russo

TA499, duo comico o gruppo cyber criminale?

Probabilmente lo avete sentito presentare a seconda dei giornali come duo comico composto dai due comici Vovan e Lexus, o attori criminali russi al soldo della propaganda Putiniana.

Occorre precisare però che il duo è ufficialmente classificato come threat actor professionista da ProofPoint [1], con il codice TA499. I due sono personaggi noti da qualche tempo, la cui tattica non è tanto quella di spacciarsi per duo comico, ma di agire come gruppo cyber criminale di natura del tutto particolare, si tratta sicuramente di professionisti del settore. La coppia si auto-identifica come pranksters e non c’è altro modo migliore per descriverli, purtroppo, ma è nata come duo poco dopo la fine degli anni 2000, probabilmente ispirandosi alla trasmissione Punk’d di Ashton Kutcher, famosa per gli scherzi telefonici (fonte ProofPoint).

ProofPoint è stata la prima a classificare questo duo a tutti gli effetti come un Threat Actor. In un documento del 2022 [2] è riportato quanto sotto:

Come agisce TA499

TA499, è un threat actor schierato con la Russia e conosciuto pubblicamente come Vovan e Lexus, ha iniziato a inviare e-mail apparentemente innocue per costruire un rapporto, nel tentativo di richiedere informazioni a persone di alto profilo all’inizio del 2021. Le e-mail tentavano di invogliare i destinatari a ulteriori contatti tramite telefonate o video a distanza, probabilmente per creare contenuti politici negativi sull’opposizione russa e sulle politiche in contrasto con gli obiettivi del presidente russo Vladimir Putin. Le e-mail di TA499 sono state camuffate da team o moglie di Alexei Navalny – un noto leader dell’opposizione russa – o da funzionari ucraini.

Chi sono in realtà Vovan e Lexus e cosa fanno

I nomi reali di chi si cela dietro Vovan e Lexus sono noti, si tratta rispettivamente di Vladimir Aleksandrovich Kuznetsov e Aleksei Vladimirovich Stolyaro come riportato anche da Wikipedia[1]. Non si può certo dire che i due agiscano nell’ombra, ma in un certo senso è proprio questa la particolarità: per il tipo di tattiche che seguono non serve.

Il curriculum specifico di queste due persone è stato ricostruito recentemente da WIRED, ma ci sono tracce in rete che indicano chiaramente che tipo di competenze possiedono: social engineering avanzata.

Ad esempio, all’evento RuCTF del 2019 (un evento annuale di rilievo internazionale, dedicato alla sicurezza informatica, che si tiene dal 2008 in Russia) si trova ancora traccia di una presentazione che si intitolava “Social engineering in practice” di Alexey Lexus Stolyarov.

Qualcosa di più lo racconta ProofPoint in una puntata dedicata del loro blog Discarded.

All’inizio della loro carriera è famosa la telefonata con Elton John (2015) nella quale hanno impersonato Putin, trucco mai ripetuto. A quanto pare, Putin avrebbe persino dovuto chiamare Elton John per sapere cosa fosse successo perché Elton John aveva pubblicato un post al riguardo.

Deepfake porno con Giorgia Meloni, ecco tutti i reati commessi

L’evoluzione degli obiettivi del duo

Ma negli ultimi due anni sono stati osservati attacchi più aggressivi ad un ristretto ambito di attività allineato agli obiettivi del governo russo più che in passato. Sembrano aver acquisito caratteristiche tipiche dei gruppi APT, registrando domini e indirizzi e-mail con facilità e indirizzandosi verso obiettivi geopolitici precisi. Gli obiettivi di TA499 si sono quindi evoluti nel tempo, passando da quelli che condannavano l’arresto di Alexei Navalny all’inizio del febbraio 2021 a iniziative reazionarie a tema bellico nel corso del 2022.

Come funziona un attacco di social engineering

Semplificando, un attacco di social engineering* solitamente segue le fasi definite dal modello SEAC, si veda Figura 1.

  • Raccolta di informazioni: l’obiettivo è acquisire conoscenze sull’obiettivo da attaccare.
  • Sviluppo delle relazioni: l’obiettivo è entrare in una relazione di fiducia da cui lanciare l’exploit.
  • Exploitation: l’obiettivo può essere manipolato dall’hacker divenuto oramai una persona fidata per fargli rivelare informazioni critiche (ad esempio, login e password) o eseguire operazioni (ad esempio, la creazione di un account temporaneo o in questo specifico caso il trasferimento ad un altro ufficio interno) che dovrebbero essere evitate in condizioni normali.
  • Esecuzione: una volta che l’obiettivo ha agito come desiderato dall’hacker, il ciclo o la fase di attacco è completata e si inizia con le eventuali fasi successive. Nel caso in cui ad esempio si sia ottenuto l’avanzamento della pratica per entrare in contatto con la persona in comando, si possono sfruttare meccanismi classici di pretext o trasferimento a caldo.

Cosa rende difficile il tracciamento delle attività di social engineering

Vediamo ora cosa rende difficile il tracciamento delle attività di questo particolare tipo di attacchi.

  • Non c’è alcun tipo di richiesta di denaro, malware o estorsione. Non stanno cercando di rubare credenziali, non cercano di rubare nulla.
  • La totale assenza di malware. I prodotti di cybersecurity tipicamente sono pensati per impedire di acquisire un malware, che in questi casi non esiste.
  • L’assenza di exploitation tecnologici o esfiltrazioni. A parte l’infrastruttura di e-mail e domini iniziali, utile a costruire le relazioni fra le parti e la fiducia, non ci sono particolari infrastrutture per l’esfiltrazione di dati o informazioni riservate.
  • La tattica principale pare essere quella di mettere in cattiva luce le persone o le istituzioni colpite, agendo con la copertura di un phrank (scherzo in rete).

Perchè si tratta di un attacco cybercriminale a tutti gli effetti

Per ottenere questo scopo gli attaccanti si avvalgono di metodi e strumenti altamente sofisticati per mettere in piedi una credibile infrastruttura di attacco, spedizione mail e contenuti, in grado di superare le barriere di difesa perimetrali (es. antispam). Si tratta di attacchi ad personam, come quelli descritti in questo articolo. Tecnicamente parlando siamo di fronte ad operazioni non particolarmente complesse, ma decisamente efficaci. Le stesse e-mail impiegate sono uniche in quanto non sono tecnicamente malevoli ma di natura benigna. In Cefriel effettuiamo simulazioni di attacchi di questo tipo da quasi 10 anni[2] con un metodo oramai collaudato[3].

In termini pratici questo però è un attacco cybercriminale a tutti gli effetti perché va ad intaccare, come tutti gli attacchi cyber, un asset. In questo caso un asset intangibile come la reputazione e la credibilità di una istituzione o della persona che la rappresenta. Il problema con gli attacchi del gruppo TA499 è il potenziale danno arrecato ad un marchio o alla reputazione personale di una persona o alla reputazione della sua azienda o del suo governo solo per il fatto di partecipare a queste conversazioni. Oltre al fatto che, inavvertitamente, potrebbero fornire informazioni che non vogliono necessariamente divulgare pubblicamente.

Occorre poi considerare l’imbarazzo di chi parla con loro, che è in realtà parte di ciò che li rende difficili da rintracciare, perché nessuno vuole ammettere il motivo per cui è stato preso di mira, o vuole ammettere come è caduto nel tranello. Problema questo comune a qualsiasi attacco di social engineering peraltro.

Questo in generale, ma venendo al caso specifico, la questione, come tutti gli attacchi di social engineering è sottile. Lo scopo dello “scherzo” come tutte le attività del gruppo è di rivolgersi ai Russi. Il loro probabile obiettivo era quello di creare contenuti che mostrassero l’opposizione russa in una luce negativa [3].

Conclusioni

Riprendendo le conclusioni di ProofPoint [4] il gruppo TA499, noto anche come Vovan e Lexus, è un threat actor allineato alla Russia che si è impegnato in modo aggressivo in campagne e-mail almeno dal 2021. Le loro campagne di attacco tentano di convincere funzionari governativi nordamericani ed europei di alto profilo, nonché amministratori delegati di aziende importanti e celebrità, a partecipare a telefonate o chat video registrate.

Le chiamate sono quasi certamente connesse alla propaganda pro-Russia e sono progettate per discreditare coloro che si sono espressi contro il presidente russo Vladimir Putin e, nell’ultimo anno, si sono opposti all’invasione dell’Ucraina da parte della Russia. Il TA499 non è una minaccia da prendere alla leggera a causa dei danni che tale propaganda potrebbe avere sulla reputazione e la credibilità delle persone prese di mira, oltre che per l’impatto generale sulla disinformazione. In passato il gruppo ha utilizzato tecniche tradizionali di makeup [5], ma recentemente ha iniziato ad utilizzare anche deep fake (voce e video).

Secondo quanto riportato da ProofPoint Lexus stesso ha detto in un’intervista che “nessuno può provare o negare che lavoriamo per un’agenzia di intelligence”. La citazione è interessante perché solitamente gli attori del mondo APT non rilasciano questo tipo di dichiarazioni in pubblico.

In una serie di articoli su Agendadigitale* racconto nel dettaglio come va intesa la sicurezza nel momento in cui al centro di sono gli umani. Umani che sono oggetto e soggetto di attacchi e difesa. Nel caso italiano quel che è stato violato è un protocollo procedurale creato e controllato da persone e non server o altri sistemi di difesa tecnologici.

Note

° Di questi argomenti ho trattato in numerosi articoli, fra cui il libro gratuito pubblicato nel 2020 “The role of SE in the evolution of attacks”, disponibile online o più recentemente in una elaborata serie di 7 articoli su Agenda Digitale, nel quale affronto il problema della cybersecurity nel momento in cui al centro dei sistemi di difesa ci sono le persone e non le macchine.

  1. Ripensare la cybersecurity mettendo le persone al centro: come farlo bene
  2. L’elemento umano nella cybersecurity: come “testarlo” con Vulnerability Assessment e Penetration Testing
  3. Cybersecurity, il training come strumento di difesa e riduzione del rischio
  4. Analisi delle minacce nel caso degli umani: come cambiano i processi di threat intelligence e threat hunter
  5. Cyber, l’utilità di simulare minacce e modelli di attacco legati all’uomo
  6. Come usare l’IA per mitigare le minacce cyber legate a “errore umano”
  7. IT, OT, elemento umano: come stimare in modo integrato le diverse fonti di rischio cyber

[1] https://en.wikipedia.org/wiki/Vovan_and_Lexus

[2] Frumento, E. and Puricelli, R. (2014). An innovative and comprehensive framework for Social Driven Vulnerability Assessment. Magdeburger Journal zur Sicherheitsforschung, 2, 493–505. http://www.sicherheitsforschung-magdeburg.de/publikationen.html

[3] Frumento, E. et al. (2017), Victim Communication Stack (VCS): A flexible model to select the Human Attack Vector. Proceedings of the 12th International Conference on Availability, Reliability and Security – ARES ’17, p. art. no. 50, 2017.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

PA, università e ricerca vittime di cyber attacchi: l'analisi di Csirt-Acn