Cybersecurity elevata dopo un’operazione di spionaggio informatico
Molti bersagli sono collegati al conflitto in corso in Ucraina. Si tratta principalmente di amministrazioni ucraine o di aziende della difesa in Bulgaria e Romania.
Spionaggio informatico – L’Operazione di Cybersecurity RoundPress ha scoperto un furto di credenziali, contatti e messaggi di enti e aziende della difesa in Ucraina, Bulgaria e Romania.
Operazione di cybersecurity da parte dei ricercatori di ESET, i quali hanno scoperto un’operazione di spionaggio informatico attribuita con ragionevole certezza al gruppo Sednit, allineato alla Russia, denominata RoundPress. La campagna prende di mira server webmail sfruttando vulnerabilità XSS con l’obiettivo finale di sottrarre dati riservati da caselle email specifiche.
La maggior parte dei bersagli è collegata al conflitto in corso in Ucraina. Si tratta principalmente di amministrazioni ucraine o di aziende della difesa in Bulgaria e Romania. Alcune di queste aziende producono armamenti di epoca sovietica destinati all’Ucraina. Altri obiettivi includono governi africani, dell’UE e sudamericani.
Matthieu Faou, ricercatore ESET che ha scoperto e analizzato l’Operazione RoundPress
Lo scorso anno abbiamo osservato l’uso di diverse vulnerabilità XSS per colpire altri software webmail: Horde, MDaemon e Zimbra. Sednit ha iniziato inoltre a sfruttare una vulnerabilità più recente in Roundcube, CVE-2023-43770. La vulnerabilità di MDaemon — CVE-2024-11182, ora corretta — era uno zero day, con ogni probabilità scoperto dal gruppo stesso, mentre quelle di Horde, Roundcube e Zimbra erano già note e patchate.
L’operazione di spionaggio contro la cybersecurity
Sednit veicola questi exploit XSS via email. L’apertura del messaggio da parte della vittima in una webmail vulnerabile porta all’esecuzione di codice JavaScript dannoso all’interno della pagina. Di conseguenza, solo i dati accessibili dall’account della vittima possono essere letti ed esfiltrati.
Il metodo
Affinché l’exploit funzioni aggirando la cybersecurity, la vittima deve aprire il messaggio nell’interfaccia web vulnerabile. Questo implica che l’email debba superare i filtri antispam e che l’oggetto del messaggio sia sufficientemente credibile da spingere l’utente a leggerlo. Per raggiungere questo obiettivo, gli attaccanti hanno sfruttato l’identità visiva di testate note come Kyiv Post o il portale bulgaro News.bg. Tra i titoli utilizzati per rendere credibili i messaggi di spearphishing vi sono, ad esempio: “L’SBU arresta banchiere che lavorava per l’intelligence militare nemica a Kharkiv” e “Putin cerca l’accettazione da parte di Trump delle condizioni russe nei rapporti bilaterali”.
I payload JavaScript utilizzati contro la cybersecurity includono SpyPress.HORDE, SpyPress.MDAEMON, SpyPress.ROUNDCUBE e SpyPress.ZIMBRA. Questi sono in grado di sottrarre credenziali, rubare rubriche, contatti e cronologia delle attività, oltre a leggere i messaggi di posta. SpyPress.MDAEMON, in particolare, consente di aggirare la protezione a due fattori ottenendo la chiave per l’autenticazione. Generando una credenziale di accesso, che permette agli attaccanti di consultare la casella tramite un client di posta.
