Non è un mistero il fatto che la Russia sia una delle patrie degli hacker per antonomasia. Terra prolifica di cervelli informatici che si prestano come manodopera in manovre di intelligence, come si è visto con il Russiagate e con il gruppo noto come Fancy Bear o come APT28. Un gruppo che è tornato a colpire con un atto di sciacallaggio, sfruttando l'attacco terroristico compiuto lo scorso 2 novembre a New York da un militante dell'Isis, l'uzbeko Sayfullo Habibullaevic Saipov, che ha ucciso otto persone. E sfruttando, da un punto di vista più tecnico, una vulnerabilità inclusa in un software di Microsoft.

Ma chi c'è dietro Fancy Bear? Un'idea ce l'eravamo già fatta: a detta di diverse società di cybersicurezza, tra cui FireEye e SecureWorks, questo insieme di persone è sicuramente dedito ad attività di cyberspionaggio commissionate dal Cremlino e da ambienti militari e di intelligence russi, per i quali ha portato a termine attacchi “frontali”, attività di phishing e di furto dati su obiettivi notevoli. La Casa Bianca, la Nato, il parlamento tedesco e la Democratic National Committee del partito democratico statunitense (bersagliato prima e durante la campagna elettorale che ha condotto all'elezione di Donald Trump), per citarne alcuni. Ora McAfee getta nuova luce, una luce non certo edificante, sui metodi e sulla moralità di questi personaggi.


La sua nuova campagna di phishing invita i destinatari delle email a cliccare su un documento di Word allegato, cui corrisponde il nome "IsisAttackInNewYork". Quando l'utente clicca sul documento, quest'ultimo scarica il già noto malware Seduploader: da qui parte un meccanismo di raccolta di dati sul Pc infettato. Se la vittima risulta essere interessante per gli hacker, questi installano ulteriori malware (come il già utilizzato Agent X).

 

 

L'attacco, di cui McAfee fornisce una descrizione tecnica, ricorda una precedente e recentissima campagna di phishing creata da Fancy Bear, in cui era stato inviato alle vittime un documento chiamato "World War 3: North Korea claims 'terrorist' US 'PUSHED' Pyongyang to create nuclear bomb". Il nuovo caso differisce però per il fatto di far leva su una vulnerabilità del Dynamic Data Exchange di Office, un sistema utilizzato per lo scambio di dati tra le applicazioni della suite di Microsoft. I criminali, in sostanza, possono sfruttare (e lo fanno da anni) un meccanismo del Dynamic Data Exchange per far comparire finestre di dialogo e mandare in esecuzione un malware.

La società di Redmond ha già avuto occasione di esprimersi su questo tema: il sistema di scambio dati non è, a suo dire, fallato ma semplicemente prevede dei meccanismi che possono essere piegati a scopi malevoli. In assenza di patch all'orizzonte, il consiglio (banale) è quello di evitare l'apertura di qualsiasi allegato non proveniente da mittenti conosciuti o identificabili con certezza. A detta di McAfee, APT28 è un gruppo “dalle molte risorse, che non solo fa leva su recenti fatti di cronaca per ingannare le potenziali vittime e infettarle, ma sa anche impossessarsi rapidamente di nuove tecniche per aumentare il proprio successo”.