Gli hacker russi prendono di mira i critici del Cremlino in tutto il mondo, esponendo un'aggressiva campagna di phishing
In uno sviluppo preoccupante, gli hacker collegati all'intelligence russa stanno prendendo di mira attivamente i critici del Cremlino in tutto il mondo attraverso sofisticate campagne di phishing. Questa allarmante operazione di cyber-spionaggio è stata recentemente esposta dai gruppi per i diritti digitali Citizen Lab e Access Now, e mette in luce la crescente minaccia di attacchi informatici con l'avvicinarsi delle elezioni presidenziali statunitensi del 2024.
Questi attacchi di phishing, iniziati nel 2022, hanno compromesso un'ampia gamma di individui e organizzazioni, tra cui esponenti dell'opposizione russa in esilio, ex funzionari politici statunitensi, accademici, personale di organizzazioni non profit statunitensi ed europee e vari organi di informazione. La portata degli hacker si estende persino a individui ancora residenti in Russia, esponendoli a un pericolo significativo. L'obiettivo principale di questi attacchi sembra essere quello di infiltrarsi nelle vaste reti di contatti delle vittime, ottenendo così l'accesso a informazioni sensibili.
Sommario
Sofisticate tattiche di phishing tramite impersonificazione e inganno
Ciò che rende questa campagna di phishing particolarmente pericolosa è il suo metodo di impersonare individui noti alle vittime, aumentando così la probabilità che l'email venga aperta e ritenuta attendibile. Questa tattica ingannevole distingue questa operazione dai tipici tentativi di phishing e ha portato a violazioni di successo.
Citizen Lab ha identificato due gruppi di hacker russi dietro questi attacchi. Il primo, Cold River, è stato collegato al Federal Security Service (FSB) russo dall'intelligence occidentale. Il secondo gruppo, Coldwastrel, è un'entità più recente che sembra essere allineata anche con gli sforzi dell'intelligence russa.
Il ruolo di Citizen Lab e Access Now nella scoperta dell'attacco
Nonostante le ripetute smentite da parte della Russia in merito al coinvolgimento in tali attività, comprese quelle collegate a Cold River, le prove presentate da Citizen Lab dipingono un quadro diverso. In particolare, uno degli obiettivi era un ex ambasciatore degli Stati Uniti in Ucraina, che è stato avvicinato tramite un credibile tentativo di phishing che impersonava un altro ex ambasciatore a lui noto.
Le email di phishing in genere includevano un allegato PDF che, una volta cliccato, reindirizzava il destinatario a una falsa pagina di accesso a Gmail o ProtonMail. Le vittime che immettevano le proprie credenziali su questi siti falsificati concedevano inconsapevolmente agli hacker l'accesso ai propri account email e contatti. Sfortunatamente, diversi individui sono caduti preda di questa tattica.
Come si sono svolti questi attacchi di phishing
Dmitry Zair-Bek, leader del gruppo per i diritti russi First Department, ha sottolineato l'efficacia di questo attacco diretto ma potente. La natura delle e-mail, apparentemente provenienti da colleghi, le ha rese particolarmente difficili da individuare come fraudolente. Secondo Zair-Bek, il numero di individui presi di mira è a due cifre, con la maggior parte degli incidenti verificatisi quest'anno.
Citizen Lab ha sottolineato le gravi implicazioni di questi attacchi, in particolare per coloro che hanno legami con comunità ad alto rischio in Russia. Per alcuni, un compromesso riuscito potrebbe portare a gravi conseguenze, tra cui la reclusione.
Cold River è rapidamente diventato uno dei gruppi di hacker russi più prolifici da quando è apparso per la prima volta sui radar dell'intelligence nel 2016. Dopo l'invasione russa dell'Ucraina, il gruppo ha intensificato le sue attività, portando all'imposizione di sanzioni ad alcuni dei suoi membri da parte delle autorità statunitensi e britanniche a dicembre.