L’Italia è sotto attacco cibernetico? E chi sono gli attaccanti? Sono russi oppure no? In base a quello che hanno scoperto i ricercatori dello Z-Lab, il centro anti malware di Cse Cybsec, azienda italiana di cybersecurity, sembrerebbe di poter rispondere di sì. L’Italia sarebbe oggetto ormai da settimane di una campagna di spionaggio condotta da un gruppo russo prima di “andare in sonno.” E se questo è vero, da quanto durano questi attacchi e chi ne è il bersaglio finale sono le importanti domande a cui bisognerà rispondere.
Gli esperti di Cse hanno infatti individuato sulle reti italiane una backdoor, una ‘porta posteriore’, usata per aggirare le difese dei sistemi sotto attacco, identificata come una nuova variante della famigerata backdoor X-Agent. Usata per colpire i sistemi Windows, la backdoor, parte dell’arsenale di APT28, un gruppo paramilitare russo, consentirebbe di esfiltrare dati dai computer compromessi per mandarli a un centro di Comando e Controllo situato in Asia.
Le prove che portano agli hacker russi sarebbero diverse: il linguaggio in cui è scritto il virus che veicola la backdoor, il luogo di destinazione del traffico che genera, il tipo di minaccia, X-Agent, da tempo in possesso all’APT 28, gruppo di hacker collegato ai servizi segreti militari russi.
L’inchiesta di CSE e la Marina Italiana
L’inchiesta di Cse, avviata da un’indagine di routine su un campione di software malevolo inviato a Virus Total, una piattaforma di analisi online di virus e malware, ha permesso con l'aiuto di un ricercatore noto su Twitter come Drunk Binary di confrontarlo con una serie di campioni e segnalarli alle autorità per ulteriori indagini, in un rapporto accompagnato dalle cosiddette “regole Yara”, che servono a individuare l’azione in corso di eventuali malware. Ma gli esperti hanno anche analizzato altro codice malevolo, una DLL, una libreria dinamica di software, che viene caricata automaticamente durante l’esecuzione di un compito informatico.
Apparentemente non correlata agli esempi precedenti, presenta molte somiglianze con altre cyber-armi in possesso del gruppo russo. In questo caso il malware contatta un server di comando e controllo che porta il nome "marina-info.net" che, dice Pierluigi Paganini, capo tecnologo di CSE Cybsec, “Se adottiamo le logiche degli attaccanti parrebbe un riferimento alla Marina militare italiana e ci invita a verificare l’ipotesi che quel codice malevolo sia stato sviluppato come parte di una serie di attacchi mirati contro la Marina o altre entità ad essa associate, come i suoi fornitori.”
I ricercatori di CSE Cybsec non sono stati in grado di collegare direttamente il file DLL malevolo agli esemplari di X-Agent, ma credono che siano entrambe parti di un attacco chirurgico ben coordinato e alimentato dall'APT28 che Z-Lab ha chiamato “Operazione Vacanze Romane” perché potrebbe colpire organizzazioni italiane nel periodo estivo.
Un momento delicato
A supportare l’ipotesi che si tratti di una più ampia campagna di spionaggio ai danni dell’Italia potrebbe essere la situazione geopolitica attuale – i rapporti dell’Italia con la Russia -, il delicato momento temporale, a ridosso della visita di Trump in Europa, dell’incontro con Putin e dopo l’incriminazione da parte del procuratore speciale Mueller di 12 agenti russi coinvolti a vario titolo nel Russiagate.
Il gruppo APT28 infatti è attivo dal 2007 e ha preso di mira governi, forze armate e organizzazioni di sicurezza. Ma, soprattutto, APT28 è uno dei gruppi hacker più famosi al mondo per essere stato coinvolto nel furto delle email di Hillary Clinton che portarono l’FBI di James Comey a indagarla poco prima delle elezioni presidenziali Usa spianando di fatto la strada al candidato Donald Trump.
APT28, un acronimo che sta per Advanced Persistent Threath numero 28, prende il nome dalla tecnica utilizzata: una ‘Minaccia persistente avanzata’ è un tipo di minaccia informatica che una volta installata in server e sistemi vi rimane per svolgere il suo compito di monitoraggio ed esfiltrazione dei dati, in genere con finalità di spionaggio.
Il gruppo, ben organizzato e finanziato - noto anche come Sofacy, Fancy Bear, Pawn Storm, Sednit e Stronzio -, era stato segnalato operante da Palo alto networks e Kaspersky Lab in Asia e Medio Oriente proprio negli ultimi mesi, dando l’idea di essersi allontanato dagli usuali bersagli della Nato e dell’Ucraina. Ma in base alle evidenze trovate dallo Z-Lab forse non è più così.
Il rapporto completo sull'analisi del malware è scaricabile qui.