l'analisi

Cosa ci insegnano gli attacchi cyber all’Ucraina: gli scenari possibili

Partendo da un’analisi dei principali attacchi dei criminali informatici sferrati nel recente passato contro l’Ucraina si può tentare di prevedere le probabili forme e i potenziali effetti delle future operazioni eCrime nel Paese

16 Feb 2022
Adam Meyers

Senior Vice President of Intelligence, CrowdStrike

Nuove azioni criminali informatiche hanno recentemente colpito elementi della società ucraina, quasi certamente per mano di avversari appartenenti al governo russo (o a gruppi da esso controllati). Si tratta di operazioni, iniziate nel 2014, che hanno un forte impatto su molteplici settori, quali quello energetico, dei trasporti e finanziario, oltre ad influenzare i processi politici e le imprese, soprattutto quelle all’interno del Paese.

Queste attività criminali informatiche sono state condotte in modo semi-indiziario, con prove sufficienti a destare il sospetto dei potenziali autori, affinché i messaggi previsti potessero essere trasmessi alle entità colpite, pur offuscando le origini dell’attività. CrowdStrike attribuisce la maggior parte delle più note offensive contro l’Ucraina a Voodoo Bear, un avversario molto probabilmente controllato dalla Main Intelligence Directorate of the General Staff of the Armed Forces of the Russian Federation (GRU – Direzione Principale di Intelligence dello Stato Maggiore delle Forze Armate della Federazione Russa).

L’information war in Ucraina (2013-15): una narrazione agitprop

L’impatto delle attività criminali è raramente circoscritto alla sola entità inizialmente presa di mira, ma innesca una serie di danni collaterali che si verificano direttamente attraverso la corruzione delle reti informatiche o indirettamente attraverso l’interruzione dei servizi aziendali critici su cui le organizzazioni fanno affidamento per l’operatività quotidiana. Le analisi delle attività precedenti hanno identificato diverse situazioni in cui i “bersagli” apparentemente localizzati hanno causato conseguenze indesiderate alle organizzazioni al di fuori dell’Ucraina.

Partendo da un’analisi dei principali attacchi dei criminali informatici sferrati nel recente passato contro l’Ucraina si può tentare di prevedere le probabili forme e i potenziali effetti delle future operazioni eCrime nel Paese.

Voodoo Bear

Le tecniche impiegate da Voodoo Bear per facilitare e fornire effetti distruttivi si sono evolute nel corso degli anni, dalla distribuzione di malware wiper mirati tramite loader personalizzati fino a imitare l’effetto delle implementazioni di ransomware utilizzando meccanismi di distribuzione di più ampia portata, come la supply chain e le compromissioni strategiche del web (SWC).

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software

Tuttavia, la simulazione del ransomware è spesso superficiale e la sua implementazione non è coerente con attori criminali mossi dal fattore economico. Ci sono anche evidenze che suggeriscono che l’avversario ha sfruttato fronti di attribuzione che sostengono di essere motivati da ideologie attiviste e da campagne distruttive, probabilmente nel tentativo di amplificare gli effetti degli attacchi sponsorizzandoli su larga scala.

L’evoluzione delle operazioni di Voodoo Bear

CrowdStrike Intelligence ha analizzato ampiamente le attività di Voodoo Bear in Ucraina e ha fornito una panoramica delle loro operazioni in continua evoluzione. Queste campagne criminali informatiche sembrano voler degradare, delegittimare o influenzare la fiducia del pubblico nei confronti delle istituzioni statali e dei settori industriali del paese.

2014-2016: attacchi mirati con malware di consegna personalizzati

Le prime operazioni attribuite a Voodoo Bear hanno preso di mira alcuni settori dell’Ucraina, spesso sfruttando una combinazione del malware BlackEnergy (versione 3) e del wiper KillDisk (aka PassKillDisk). Molte campagne sono state programmate per coincidere con occasioni specifiche, mentre gli eventi del dicembre 2016 potrebbero essere interpretati come un’esecuzione persistente di attacchi successivi progettati per avere un effetto distruttivo sull’intero Paese.

Queste operazioni includevano:

  • Maggio 2014 – attacchi contro il settore energetico e dei trasporti
  • Ottobre 2015 – attacchi contro i media, in concomitanza con le elezioni locali
  • Dicembre 2015 – attacchi contro un fornitore di energia nell’Ucraina dell’Ovest
  • Dicembre 2016 – attacchi contro istituzioni finanziarie statali (FIs) e compagnie ferroviarie
  • Dicembre 2016 – attacchi contro un fornitore di energia che ha causato interruzioni di corrente a Kiev
  • Dicembre 2016 – attacchi contro il servizio idrografico statale ucraino

Nonostante l’obiettivo relativamente mirato in ciascuno dei casi sopracitati, diverse varianti di malware KillDisk distribuite nel dicembre 2016 furono modificate per imitare il ransomware e l’intento attivista, prefigurando gli sviluppi successivi nelle tattiche, tecniche e procedure operative (TTP).

Le osservazioni dell’attività contemporanea, in questo periodo, suggeriscono che i fronti di attribuzione che adottano personaggi attivisti furono usati per rilasciare pubblicamente i dati delle organizzazioni ucraine insieme a queste operazioni offensive, anche se la natura esatta del loro coordinamento non è chiara. Ad esempio, il collettivo CyberBerkut ha rivendicato la responsabilità di attacchi DoS (Denial of Service) contro la Commissione elettorale centrale ucraina (CEC) nel maggio 2014, a seguito del quale il gruppo ha iniziato a pubblicare e-mail sensibili e documenti interni della CEC per sostenere la loro affermazione.

Egualmente, nel dicembre 2016, un gruppo attivista pro-Russia chiamato Sprut ha fatto trapelare una serie di documenti finanziari della società energetica statale del governo ucraino. Successivamente, il gruppo ha annunciato di aver interrotto il sito web principale della compagnia energetica ucraina Ukrenergo, che aveva pubblicamente riconosciuto che i sistemi interni erano stati accessibili il 17-18 dicembre 2016. Le operazioni di informazione (IO) che combinano l’intento pubblico (dirompente) e non pubblico (distruttivo) sono molto probabilmente rappresentative dei tentativi di amplificare gli effetti dei danni ai sistemi governativi, controllando la narrazione pubblica per un periodo prolungato.

Cyber attacchi geopolitici: il caso ucraino

2016-2017: aumento della deniability e della scala attraverso l’uso di Pseudo-Ransomware

Le operazioni distruttive di Voodoo Bear nel 2017 hanno segnato un netto cambiamento nella distribuzione e nel payload distruttivo delle TTPs. Basandosi sui precedenti tentativi di mascherare i wipers come ransomware criminali, varie campagne che utilizzano diverse famiglie (seppur tecnicamente collegate) di pseudo-ransomware sono state distribuite dall’avversario contro entità ucraine.

Particolarmente degna di nota è stata l’adozione di diverse tecniche di implementazione che hanno notevolmente amplificato la potenziale portata e le implicazioni distruttive di queste operazioni. La compromissione della supply chain e delle metodologie SWC ha aumentato notevolmente il numero di vittime colpite da ogni campagna, mentre i meccanismi di propagazione tipo worm supportati dallo strumento di furto di credenziali Mimikatz e l’exploit EternalBlue per la vulnerabilità CVE-2017-0144 hanno aumentato il potenziale impatto sulle reti dopo l’infilitrazione iniziale.

Queste operazioni includevano:

  • Gennaio 2017 – Filecoder.NKH è stato distribuito attraverso una compromissione della catena di approvvigionamento di una società informatica ucraina
  • Maggio 2017 – XDATA è stato distribuito per un breve periodo attraverso un meccanismo di aggiornamento del software di M.E. Doc, un prodotto software di contabilità ucraino utilizzato da molte aziende situate – o operanti – in Ucraina
  • Giugno 2017 – FakeCry è stato distribuito attraverso un aggiornamento malevolo di M.E. Doc, una famiglia di malware che impersona il famigerato ransomware WannaCry
  • Giugno 2017 – NotPetya è stato distribuito attraverso lo stesso meccanismo M.E. Doc, con test precedenti probabilmente distribuiti attraverso il SWC di un sito web di un media ucraino
  • Ottobre 2017 – BadRabbit è stato distribuito contro la rete di trasporti ucraina attraverso il SWC di siti in diversi paesi, tra i quali l’Ucraina, la Russia, la Turchia e la Bulgaria.

Le osservazioni di un approccio graduale alla distribuzione di varianti pseudo-ransomware attraverso più vettori di consegna suggeriscono che le campagne ad inizio 2017 potrebbero essere state dei test per la più ampia distribuzione di NotPetya, apparentemente programmata per coincidere con il Giorno della Costituzione dell’Ucraina. Tuttavia, la distribuzione di NotPetya attraverso il meccanismo di aggiornamento M.E. Doc – utilizzato anche da organizzazioni non ucraine – e l’implementazione di tecniche di propagazione non vincolate hanno portato a una diffusione globale con un probabile impatto involontario su un’ampia varietà di settori, tra cui la logistica, la sanità e la vendita al dettaglio. La campagna BadRabbit sembra anche aver provocato danni collaterali contro alcune organizzazioni con sede in Russia, probabilmente come risultato delle vittime che hanno visitato i siti web utilizzati per distribuire il malware.

2022: operazioni ibride che utilizzano più fasi della campagna

Nel mese di gennaio 2022 CrowdStrike sottolinea come il cluster di attività WhisperedDebate. che coinvolge defacements di siti web e operazioni wiper WhisperGate contro le reti governative ucraine, abbia confermato il suo continuo intento di disturbare le istituzioni statali. CrowdStrike Intelligence non attribuisce attualmente WhisperedDebate ad un avversario definito (come Voodoo Bear), anche se i paralleli di alto livello con le operazioni precedenti, il focus ucraino e la tempistica dell’attività suggeriscono fortemente un avversario Russia-nexus o un gruppo allineato con i loro interessi.

Le dichiarazioni pubbliche del governo ucraino suggeriscono che la portata di questa operazione era relativamente limitata rispetto alle campagne VOODOO BEAR del 2017, anche se non si sa se questo fosse intenzionale o rappresentativo delle difficoltà operative incontrate dall’avversario. Tuttavia, il probabile vettore di distribuzione manuale del malware impiegato e l’attenzione sul targeting delle reti governative – e altri attacchi distruttivi contro i fornitori di servizi IT, probabilmente nel tentativo di coprire le prove dei vettori di intrusione iniziali – indica che l’impatto limitato era intenzionale in questo caso.

CrowdStrike ha rilevato diversi tentativi di distribuzione dei dati presumibilmente acquisiti da diverse organizzazioni governative poco dopo che erano state prese di mira durante la campagna WhisperedDebate, sostenendo le affermazioni fatte nei messaggi di defacement del sito web. Mentre i legami tra questi eventi non sono stati confermati, le prove di fuga di dati presentate da diversi personaggi con matrice hacktiviste o criminale possono essere rappresentative di un tentativo di eseguire una campagna di IO per rilasciare successivamente informazioni personali identificabili (PII), contrariamente alle ripetute dichiarazioni dei funzionari ucraini secondo i quali nessun dato era stato rubato durante le intrusioni di rete. Tali tentativi possono cercare di degradare la fiducia del pubblico nella capacità del governo di affrontare efficacemente le violazioni.

Questo uso dell’IO rispecchia le precedenti TTP di Voodoo Bear, dove i personaggi dei gruppi CyberBerkut e Sprut rilasciavano contemporaneamente dati privati di organizzazioni ucraine. L’introduzione di defacements di siti web pubblicamente visibili durante l’attività WhisperedDebate fornisce un’ulteriore sfaccettatura all’operazione che può essere facilmente raccolta e amplificata dai media.

Cosa ci insegna la lunga storia di operazioni distruttive di Voodoo Bear contro entità ucraine

La lunga storia di operazioni distruttive di Voodoo Bear contro entità ucraine indica un impegno nell’esecuzione di operazioni psicologiche contro la popolazione locale. Questo rappresenta i continui sforzi del governo russo per influenzare l’Ucraina in un contesto di sicurezza nazionale e politiche populiste.

In ultima analisi, queste operazioni e i loro effetti previsti sono complementari alla strategia generale del governo russo per quanto riguarda l’Ucraina, anche se non sembrano essere specificamente legati agli sforzi diplomatici palesi o alle manovre militari, mentre sono probabilmente intesi come uno strumento separato che può essere utilizzato per aumentare selettivamente la tensione in Ucraina e destabilizzare la fiducia pubblica nelle istituzioni governative ucraine. L’obiettivo preciso di queste azioni non è chiaro, anche se costringere la popolazione a rifiutare legami più stretti con l’Occidente, stabilire una nuova leadership più favorevole alla Russia o preparare un’azione militare simile all’annessione della Crimea del 2014 sono tutti possibili risultati previsti.

Gli scenari futuri

CrowdStrike prevede che le future operazioni offensive contro l’Ucraina assumeranno molto probabilmente la forma di attacchi di wiping distruttivi mascherati da ransomware. Questa valutazione è fatta con moderata fiducia, sulla base di una successiva evoluzione delle TTP tecniche e il riconoscimento che questo tipo di operazione può avere l’effetto dirompente desiderato e segnalare un intento più profondo, pur evitando di assumersi la responsabilità diretta degli attacchi.

L’uso contemporaneo di campagne di IO per riciclare e pubblicizzare PII o altri dati sensibili rubati durante le violazioni della rete e attirare la consapevolezza dei media attraverso attività di defacement dei siti web è probabile che si verifichi anche come parte delle operazioni ibride in futuro. Una bassa probabilità di attacchi DoS può essere presente nelle campagne future, anche se questa tecnica non è stata osservata negli ultimi anni e probabilmente ha un effetto poco duraturo sulle organizzazioni prese di mira. Il DoS verrebbe più probabilmente utilizzato in combinazione con altre azioni offensive come gli attacchi di wiping o per rafforzare le credenziali all’interno delle community di hacktivisti.

Sulla base delle osservazioni di eventi passati come la diffusione di NotPetya, è probabile che gli attacchi distruttivi e dirompenti contro l’Ucraina abbiano implicazioni più ampie, compreso il potenziale impatto sulle organizzazioni con sede al di fuori del paese. È particolarmente probabile che i danni collaterali siano subiti dalle aziende che operano con filiali in Ucraina o che possiedono asset di rete interconnessi con organizzazioni ucraine. Questa valutazione è fatta con moderata fiducia, anche se ci sono prove che suggeriscono che le operazioni successive hanno cercato di limitare la portata della propagazione incontrollata del malware, probabilmente a causa delle significative ricadute indesiderate di NotPetya. Al di fuori dell’impatto diretto degli attacchi distruttivi, è probabile che le organizzazioni che si affidano alle reti logistiche ucraine subiscano gli effetti dirompenti di qualsiasi operazione futura che prende di mira parte del settore dei trasporti ucraino.

Conclusioni

Attacchi distruttivi intenzionalmente mirati a organizzazioni al di fuori del paese – come quelli con sede in paesi che sostengono la posizione dell’Ucraina contro la Russia, compresi gli Stati Uniti e l’Europa – non possono essere completamente esclusi, anche se questo è valutato come uno scenario improbabile a causa del rischio di escalation incontrollata della tensione internazionale e di misure punitive, comprese le azioni di ritorsione diretta da parte di altri governi. Tuttavia, la presa di mira accidentale delle imprese internazionali che operano in Ucraina può essere usata dagli avversari russi per dissuadere le operazioni commerciali e gli investimenti, destabilizzando così l’economia locale.

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 4