Cybercriminali russi attaccano il governo ucraino con aggiornamenti di Windows fake | Wired Italia

Ancora un attacco dei cybercriminali russi ai danni del governo ucraino. La scorsa domenica il Computer Emergency Response Team of Ukraine (CERT-UA) ha rivelato che la gang filorussa APT28 – alias Fancy Bear – ha preso di mira vari enti governativi attraverso l’invio di email malevole contenenti istruzioni fasulle su come aggiornare Windows per difendersi da eventuali attacchi informatici. Per rendere il contenuto delle email credibile, i criminali informatici hanno creato caselle di poste di Outlook utilizzando i nomi di dipendenti del governo acquisiti in una fase precedente all’attacco, così da convincere i destinatari ad aprire i messaggi. Ma invece di contenere istruzioni legittime sull’aggiornamento di Windows, le email suggerivano di eseguire un comando PowerShell.

Secondo quanto riferito da BleepingComputer, questo comando serviva soltanto a scaricare uno script sul computer del destinatario dell’email, simulando un processo di aggiornamento di Windows mentre avviava il download di un secondo payload PowerShell in background. Questo, a quanto pare, era utilizzato dai cybercriminali come strumento di raccolta di informazioni e dati, inviati poi ad un’API del servizio Mocky, un’applicazione che supporta gli utenti nel generare risposte HTTP personalizzate. In questo modo i criminali della cybergang APT28 non hanno fatto troppa fatica a mettere le mani sui dati raccolti nei computer delle loro vittime. Motivo per cui il Computer Emergency Response Team ucraino ha consigliato agli amministratori di sistema del governo di limitare la possibilità di avviare il payload Powershell su computer considerati “sensibili”.

Ma questo non sembra certo essere il primo attacco dei cybercriminali russi della gang APT28 ai danni dell’Ucraina. Il Threat Analysis Group (TAG) di Google, infatti, ha recentemente riferito che circa il 60% di tutte le email di phishing rivolte all’Ucraina nel primo trimestre del 2023 provenivano dai criminali russi, segnalando il gruppo APT28 come uno dei più attivi in questa attività. Non a caso, ad aprile i servizi di intelligence di Stati Uniti e Regno Unito, in collaborazione con Cisco, hanno messo in luce che i criminali della gang russa stanno utilizzando una vulnerabilità zero-day dei router dell’azienda per distribuire il malware “Jaguar Tooth” al fine di sottrarre informazioni ad obiettivi con sede negli Us e nella Ue. E appena qualche mese fa Microsoft ha corretto una vulnerabilità di Outlook che il gruppo APT28 ha sfruttato dall’aprile 2022 per violare le reti delle organizzazioni governative, militari ed energetiche europee. Un’attività criminale alquanto invasiva, che ancora nessuno è riuscito a fermare.