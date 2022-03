Hacker russi attaccano la Nato, forze militari e reti satellitari Viasat Inc, già colpita da un sabotaggio informatico lo scorso febbraio, continua a essere oggetto di tentativi di attacco, all’ombra del conflitto russo-ucraino. Pubblicato il 31 marzo 2022 da Valentina Bernocco

La cyberwar continua a impazzare, mentre sul fronte diplomatico i tentativi di pace si infrangono in nuovi attacchi distruttivi e una ritirata delle truppe russe pare ancora lontana. Il gruppo di ricercatori di cybersicurezza di Google, il Threat Analysis Group, ha osservato recentemente dei tentativi di attacco da parte di hacker russi, rivolti sulle reti informatiche della Nato e di forze militari di alcuni Paesi dell’Europa dell’Est. In particolare viene citata la gang cybercriminale russa, nota come Coldriver o Castillo, che ha condotto campagne di phishing tese al furto di credenziali, indirizzate verso numerose Ong e think thank basati negli Stati Uniti, verso le forze militari di nazioni balcaniche e verso una compagnia militare privata ucraina.

Per la prima volta in queste settimane il Threat Analysis Group ha osservato attacchi di Coldriver diretti verso numerose forze militari di nazioni dell’Europa dell’Est, nonché verso un Centro di Eccellenza della Nato. I ricercatori di Google hanno potuto accorgersi di questa attività perché i cybercriminali hanno usato indirizzi di Gmail creati ex novo appositamente per inviare messaggi di phishing. Poiché i destinatari non usavano caselle Gmail, non è stato possibile stimare il numero delle persone raggiunte e “il tasso di successo di queste campagne rimane ignoto”, scrive Google.

Intanto si è scoperto che non si sono ancora arresi gli autori del cyberattacco che lo scorso 24 febbraio ha colpito la rete KA-SAT di Viasat Inc, società statunitense di servizi Internet satellitari (quasi omonima, ma in nessun modo collegata alla torinese Viasat Group). L’hackeraggio ha permesso di interrompere le comunicazioni di centinaia di migliaia di satelliti al servizio di settori strategici come la difesa e l’aviazione. Gli attaccanti sono riusciti a mettere le mani sul management plane che controlla i terminali in uso ai clienti e che permette le comunicazioni con i satelliti. Gli hacker hanno poi modificato una configurazione del software di controllo per disabilitare il funzionamento dei terminali. Viasat Inc è però riuscita a contenere le conseguenze, evitando impatti sui servizi della rete KA-SAT.

Ora, a distanza di settimane, un ufficiale dell’azienda ha dichiarato a Reuters che Viasat è ancora oggetto di tentativi di attacco da parte del medesimo gruppo. La fonte ha riferito che un attacco DDoS parallelo è stato sferrato quasi in contemporanea a quello andato a segno. “Stiamo ancora osservando alcuni tentativi intenzionali”, ha dichiarato il rappresentante di Viasat, spiegando che finora l’azienda è riuscita a bloccare questi assalti con misure di cybersicurezza difensiva. L’attaccante, però, sta cercando ripetutamente di “alterare questo pattern per testare queste nuove mitigazioni e difese”.

Sebbene l’origine russa dell’hackeraggio del 24 febbraio non sia stata dimostrata, almeno pubblicamente, l’agenzia nazionale di cybersicurezza e intelligence ucraina ha pochi dubbi a riguardo. Come riportato dal Washington Post, Victor Zhora, rappresentante dell’agenzia, ha dichiarato: “Abbiamo ovvie prove del fatto che è stato organizzato da hacker russi per distruggere le comunicazioni tra i clienti di questo sistema satellitare”. Sistemi di questo genere vengono usati non soltanto per le comunicazioni Internet ma anche per operazioni militari come il controllo dei droni, motivo per cui il loro hackeraggio rientra pienamente nelle tattiche di guerra, in un scenario in cui l’azione delle armi tradizionali si intreccia sempre di più a quelle informatiche.

Nel frattempo, in questi giorni l’Fbi ha riferito al Congresso che le infrastrutture critiche e le utility dell’energia statunitensi sarebbero attualmente nel mirino di cybercriminali russi legati al Cremlino, i quali stanno attivamente scandagliando le reti informatiche alla ricerca di vulnerabilità da sfruttare. Vulnerabilità che potrebbero quindi essere usate per scagliare attacchi di tipo DDoS o ransomware, come d’altra parte già accaduto nel 2020 e 2021, e il caso di Colonial Pipeline è forse quello più eclatante. Ora la minaccia è “molto, molto reale e attuale”, ha detto Bryan Vorndran, deputy assistant director della Criminal Investigative Division dell’Fbi.