Mentre sale la tensione per le elezioni americane di medio termine, previste per novembre, l’attenzione sui movimenti online sospetti e su possibili interferenze digitali è al suo climax. A vigilare anche le stesse grandi aziende tecnologiche. E così ieri sera Microsoft se n’è uscita con un post in cui racconta di aver individuato e neutralizzato una serie di domini che imitavano siti esistenti, messi in piedi per realizzare una campagna di phishing (in cui si rubano le credenziali di qualcuno facendolo andare su un sito finto) a danno di utenti americani.
Il ritorno di APT28
Ora, campagne di phishing ce ne sono ogni giorno, di tutti i tipi. Quello che ha fatto notizia è che secondo Microsoft a gestire l’operazione sarebbe un gruppo “ampiamente associato al governo russo e noto come Strontium, o alternativamente Fancy Bear, o APT28” (la nomenclatura di questo gruppo è anche più vasta, include pure Sofacy, Sednit, Pawn Storm, Tsar Team, Russian Doll, Group 74).
Sì, insomma, hacker russi, e in particolare hacker sponsorizzati da Mosca, anzi, dall’intelligence militare GRU, almeno secondo il governo Usa, che lo scorso luglio ha ufficialmente incriminato 12 agenti russi per una serie di attacchi condotti durante le elezioni presidenziali del 2016.
Sarebbero sei i siti presi di mira ora - alcuni dei quali fanno riferimento al Senato statunitense e a think tank e noprofit americane - con l’intento di violare gli account degli utenti. Secondo Microsoft, i siti sono stati creati diversi mesi fa, ma sarebbero stati quasi subito individuati dall’azienda di Redmond. E quindi non è chiaro se siano mai stati operativi.
La reazione di Microsoft
A guidare l’operazione è stata la Digital Crimes Unit di Microsoft, che si occupa di smascherare campagne di phishing. Tra i target c’erano l’Hudson Institute, un think tank conservatore di Washington che tra le altre cose si occupa di di corruzione in Russia (ma anche di cybersecurity e politica internazionale), e l’International Republican Institute, una associazione no profit statunitense che promuove la democrazia nel mondo (e che si occupa anche di Ucraina). Altre tre siti sembrano fare riferimento al Senato americano, e un altro imitava una stessa piattaforma di servizi cloud di Microsoft.
L’azienda ha utilizzato una tecnica già ampiamente sfruttata nei casi di phishing. È andata da un tribunale e ha ottenuto il trasferimento del controllo dei sei domini internet, un approccio - spiega la stessa Microsoft - usato 12 volte in due anni per chiudere 84 finti siti associati a questo gruppo (cioè ad APT28).
“Siamo preoccupati dalla continua attività per colpire questi e altri siti, diretta contro rappresentanti, politici, gruppi e think tank di tutto lo spettro politico negli Stati Uniti”, scrive Microsoft. “Nell’insieme, questo schema rispecchia il tipo di attività che abbiamo già visto nelle elezioni Usa del 2016 e in quelle francesi del 2017”.
Timori per nuovi attacchi
Ricordiamo che si tratta della stessa tecnica usata per spiare membri dei Democratici nel 2016, per sottrarre le email di John Podesta, il capo della campagna di Hillary Clinton, e per ottenere credenziali di utenti con cui infiltrare le reti delle organizzazioni democratiche, come raccontato qua.
Ora l’annuncio di Microsoft aumenta la preoccupazione per possibili tentativi di interferenza anche nelle elezioni di medio termine. L’azienda ha anche lanciato una iniziativa, AccountGuard, per aumentare la protezione dei candidati alle elezioni locali e federali Usa che utilizzano i suoi servizi. Non è l’unica azienda ad aver cercato di difendere in modo più robusto i propri utenti da attacchi. Lo scorso anno Google ha aperto il suo programma di protezione avanzata a singoli individui, spingendo per l’adozione di chiavi di sicurezza hardware. A fine luglio Facebook ha rimosso 32 pagine e account finti, che agivano in modo simile a quelli collegati alle elezioni del 2016.