Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies, e gli esperti di Proofpoint hanno reso noti i dati relativi agli attacchi informatici inerenti al conflitto Russia/Ucraina. Gli attacchi verso il governo e il settore militare ucraino sono aumentati drasticamente del 196%, nei primi tre giorni di combattimento. Mentre quelli alle organizzazioni russe sono aumentati del 4%. Le e-mail di phishing in lingua slavo-orientale sono aumentate di 7 volte, di cui un terzo dirette a persone di nazionalità russa, inviate da indirizzi e-mail ucraini.
CPR avverte anche di e-mail malevoli con l’obiettivo di ingannare le persone che vogliono supportare la popolazione ucraina con delle donazioni.
Boom di attacchi informatici pari al 196% nel settore Governo/Militare dell’Ucraina
Per quanto riguarda il settore Governo/Militare dell’Ucraina, CPR ha osservato un aumento del 196% degli attacchi informatici nei primi tre giorni di combattimento, rispetto ai primi giorni di febbraio 2022. Lo stesso settore, sia a livello globale che in Russia, non ha riportato un aumento simile.
Cyber attacchi aumentati del 4% in Russia
Negli ultimi giorni, in Russia, CPR ha riscontrato una crescita del 4% dei cyber-attacchi per organizzazione, rispetto agli stessi giorni della settimana precedente. In Ucraina, la quantità complessiva di attacchi informatici per organizzazione è aumentata del 2%. Gli altri Paesi hanno avuto una diminuzione netta di cyber-attacchi per organizzazione, come da grafico qui sotto:
Le e-mail di phishing in lingue slave orientali aumentano di 7 volte
CPR ha assistito ad una crescita significativa, pari a 7 volte, di e-mail di phishing nelle lingue slave orientali (russo/ucraino). Il grafico qui sotto mostra la percentuale di e-mail malevoli inviate a settimana, nelle ultime 5 settimane:
Inoltre, un terzo di queste e-mail di phishing dirette a persone di nazionalità russa provengono da indirizzi e-mail ucraini, sia reali che falsi.
Attenzione alle donazioni per l’Ucraina
CPR avverte anche di e-mail fraudolente ideate per racimolare denaro, sfruttando questa drammatica situazione. I destinatari vengono attirati con un invito per una donazione destinata a fondi di supporto ucraini falsi. Di seguito un esempio:
Lotem Finkelstein, Head of Threat Intelligence di Check Point Software L’attività informatica si sta ampliando intorno al conflitto Russia/Ucraina in corso. Stiamo riscontrando un aumento di cyber attacchi da entrambe le parti, con governo e settore militare ucraino che risultano essere i più colpiti. È importante capire che l’attuale guerra ha anche una dimensione cyber, nella quale gli utenti stanno scegliendo da che parte stare, sin dal dark web fino ai social media. Esperti, criminali informatici, ricercatori white hat o anche aziende tecnologiche si stanno schierando, incoraggiati ad agire in nome delle proprie scelte.
Vogliamo mettere in guardia, da e-mail malevoli, tutte le persone che cercano di inviare donazioni all’Ucraina. Controllate sempre l’indirizzo e-mail del mittente, verificate se è autentico e se ci sono errori di ortografia nel corpo del testo. Continueremo a monitorare su tutti i fronti questa attività informatica riguardante la guerra in corso.
Consigli per le persone che vogliono inviare donazioni in Ucraina:
Riconoscere i domini falsi. Una delle tecniche più comuni utilizzate nelle e-mail di phishing sono i domini fake, progettati per apparire reali e affidabili. Per esempio, invece dell’indirizzo e-mail manager@company.com, un’e-mail di phishing può usare manager@cornpany.com oppure boss@compаny.com.
Diffidare degli allegati sospetti. Un obiettivo comune delle e-mail di phishing è quello di indurre il destinatario a scaricare ed eseguire il malware allegato sul proprio computer – scaricando un file all’apparenza innocuo, ma che contiene un file in grado di avviare un codice eseguibile. Per esempio, una presunta fattura in un file ZIP o in un documento di Microsoft Office allegato, può richiedere l’abilitazione di macro per visualizzare il contenuto.
Attenzione alla grammatica o al linguaggio errato. Spesso, le e-mail di phishing non sono preparate da persone che conoscono bene la lingua. Questo significa che possono contenere errori grammaticali o semplicemente “suonare male”. È improbabile che le e-mail reali di una vera organizzazione contengano questi errori. Le e-mail di phishing sono progettate per convincere il destinatario, usando dei trucchi come:
Il senso di urgenza. Queste e-mail di solito dicono ai loro destinatari che qualcosa deve essere fatto subito. E se qualcuno ha fretta, non penserebbe mai che l’e-mail sia sospetta.
Uso dell’autorità. Le truffe BEC (Business E-mail Compromise) e altre e-mail di spear-phishing comunemente fingono di provenire dal CEO o da personale autorizzato. Quindi, sfruttano il fatto che il destinatario sia incline a seguire gli ordini di persone più autoritarie.
Attenzione alle richieste sospette. Le e-mail di phishing sono progettate per rubare denaro, credenziali o altre informazioni sensibili. Se in un’e-mail c’è una richiesta che sembra insolita o sospetta, allora questa potrebbe essere la prova che si tratti di un attacco phishing.
Le analisi di Proofpoint
Proofpoint ha identificato una campagna di phishing probabile sponsorizzata da uno stato-nazione che utilizza l’account email di un membro del servizio armato ucraino probabilmente compromesso per colpire il personale del governo europeo coinvolto nella gestione della logistica dei rifugiati in fuga dall’Ucraina.
L’email includeva un allegato macro pericoloso che tentava di scaricare un malware basato su Lua, soprannominato SunSeed. La catena di infezione utilizzata in questa campagna presenta significative somiglianze con una campagna storica già osservata da Proofpoint nel luglio 2021. E’ quindi probabile che ci sia lo stesso attore dietro entrambi i gruppi di attività.
Proofpoint distribuisce questo report con l’obiettivo di trovare il giusto equilibrio tra l’accuratezza e la responsabilità di divulgare informazioni utilizzabili durante un periodo di conflitto a ritmo elevato.
I ricercatori Proofpoint hanno identificato una campagna di phishing proveniente da un indirizzo email (ukr[.]net) che sembra appartenere a un membro compromesso del servizio armato ucraino. Questa scoperta arriva sulla scia degli avvisi del Computer Emergency Response Team ucraino (CERT-UA) e del Servizio Statale di Comunicazioni Speciali e Protezione delle Informazioni dell’Ucraina relativi alle diffuse campagne phishing rivolte agli account di posta elettronica privati dei membri del servizio armato ucraino da parte di ‘UNC1151’, che Proofpoint traccia come parte di TA445.
La campagna di phishing
L’email rilevata da Proofpoint può rappresentare la fase successiva di questi attacchi e includeva un allegato macro dannoso che utilizzava temi di ingegneria sociale relativi alla riunione di emergenza del Consiglio di sicurezza della NATO tenutasi il 23 febbraio 2022.
Il messaggio conteneva anche un allegato pericoloso che ha tentato di scaricare un malware Lua, denominato SunSeed, e ha preso di mira il personale del governo europeo incaricato di gestire il trasporto e il trasferimento della popolazione in Europa. Proofpoint non ha attribuito definitivamente questa campagna all’attore di minacce TA445, ma i ricercatori riconoscono che tempistica, utilizzo di indirizzi di mittenti compromessi allineati ai report del governo ucraino e vittime della campagna si allineano con le tattiche di TA445 per includere il target e la raccolta intorno al movimento dei rifugiati in Europa.
Proofpoint valuta che, alla luce della guerra Russia-Ucraina in corso, le azioni di attori proxy come TA445 continueranno a prendere di mira i governi europei per raccogliere informazioni sul flusso dei rifugiati dall’Ucraina e su questioni di rilievo per il governo russo.
TA445 e la Bielorussia
In particolare, TA445, che sembra operare dalla Bielorussia, ha un impegno storico dedicato a massicce operazioni di disinformazione volte a manipolare l’atteggiamento europeo rispetto al flusso dei rifugiati all’interno dei paesi della NATO. Queste narrazioni controllate possono avere l’obiettivo di influenzare l’atteggiamento anti-rifugiati all’interno dei paesi europei e amplificare le tensioni tra i membri della NATO, riducendo il sostegno occidentale per le entità ucraine coinvolte nel conflitto armato. Questo approccio è un fattore noto all’interno del modello di guerra ibrida impiegato dall’esercito russo e per estensione da quello della Bielorussia.
Con i dati a disposizione di Proofpoint riguardo questa campagna, si possono trarre conclusioni al momento circoscritte riguardo al target. I messaggi email osservati da Proofpoint erano limitati a enti governativi europei e le persone prese di mira possedevano una gamma di competenze e responsabilità professionali. Tuttavia, c’era una chiara preferenza nel colpire individui con responsabilità relative a trasporti, allocazione finanziaria e di budget, amministrative e di trasferimento della popolazione in Europa. Questa campagna può rappresentare un tentativo di ottenere informazioni sulla logistica che circonda il movimento di fondi, forniture e persone nei paesi membri della NATO.
