FireEye ha identificato una campagna di spear-phishing, avviata all’inizio del 2019, che ha come obiettivo le organizzazioni governative e militari ucraine.
L’email di spear-phishing osservata includeva un file LNK malevolo con uno script PowerShell per scaricare un secondo payload dal server dell’attaccante (Command&Control). Questa attività è il proseguimento della campagna di spear-phishing che ha colpito il Governo ucraino nel 2014. L’analisi dell’infrastruttura indica che gli attori di questa attività di intrusione possono essere associati alla Repubblica Popolare di Luhansk (LPR).
John Hultquist, Director of Intelligence Analysis di FireEye La cosiddetta Repubblica Popolare di Luhansk è uno Stato auto proclamato e per lo più non riconosciuto, formatosi occupando territori nella Russia orientale. Fa parte di uno dei due Stati auto proclamati in Ucraina, che si riconoscono a vicenda e riconosciuto anche dall’Ossezia del Sud, uno Stato separatista nella Georgia. FireEye ha identificato una campagna di spear-phishing proveniente dai servizi di sicurezza della sedicente Repubblica Popolare di Luhansk. L’attività, che è in corso, potrebbe aver avuto origine già nel 2014, il medesimo anno di istituzione dell’LPR. L’attività di spear-phishing sembra concentrarsi sul governo ucraino e crediamo che gli attori di questa minaccia stiano raccogliendo informazioni per sostenere le loro ambizioni politiche e militari. Mentre il cyber spionaggio è utilizzato con regolarità come strumento di potere dello Stato, questa capacità non è limitata agli Stati. Esattamente come i nuovi attaccanti di Stato sono costantemente attratti da questa attività, nel prossimo periodo anche molti attori sub-statali svilupperanno tali capacità, specialmente quelli con le risorse di sponsorizzate da uno Stato o con un controllo nominale del territorio. FireEye è costantemente impegnata nel rilevare attori della minaccia in aree dove conflitti e altri elementi geopolitici creano una ricca opportunità per identificare le minacce emergenti. Non solo in Ucraina, ma anche in Medio Oriente, Taiwan, Corea del Sud e altre aree, cerchiamo informazioni su attori provenienti da Russia, Iran, Corea del Nord e Cina. Non è raro che operazioni nascenti e geograficamente circoscritte, maturino nel tempo e si spingano fuori da una data regione. Questo, ad esempio, è stato il caso di attori seguiti con attenzione in Ucraina, dove le minacce a elezioni e industria si sono tramutate nelle operazioni che abbiamo rilevato durante le elezioni del 2016 e l’evento NotPetya.
Questo attore è attivo sin dal 2014 e la sua continua attività nei confronti del governo ucraino suggerisce una motivazione da spionaggio informatico. Questo dato è supportato dai legami con il servizio di sicurezza dell’LPR. Sono necessarie, invece, maggiori prove per attribuire definitivamente questa attività, anche se dimostra la capacità di effettuare attività di spionaggio informatico, anche da parte degli attori sub-statali. Anche se questo gruppo minaccia principalmente l’Ucraina, le minacce nascenti sono già diventate preoccupazioni internazionali.
