Lo scambio di ostaggi sembra far intravedere prospettive di pace, ma le minacce del ricorso ad armi nucleari irrorano di disperazione il pianeta. Nel frattempo – silenziosa, ma nemmeno tanto – la guerra continua animatamente sul fronte cibernetico.
Un gruppo di criminali informatici sponsorizzato dal governo di Putin, identificato e noto con la sigla UAC-0113, è sceso in campo mascherandosi con le “fattezze” virtuali di alcuni fornitori di servizi in ambito TLC nel tentativo di prendere di mira entità ucraine. L’obiettivo è insinuare nei più delicati e critici sistemi informatici ucraini una serie di malware come Colibri Loader e Warzone RAT.
La notizia arriva dai ricercatori di Recorded Future che hanno rilevato una campagna di spionaggio informatico basata su un’infrastruttura C2, operazione che sarebbe in corso dallo scorso agosto.
Gli aggressori della missione UAC-0113 sfruttano i domini DNS dinamici, ovvero i sistemi che traducono in indirizzi numerici quelli che vengono digitati dagli utenti. I Domain Name System (DNS) sono uno dei possibili talloni di Achille dell’intera rete Internet perché una loro manipolazione consente di indirizzare altrove gli utenti rispetto i loro desideri e intenzioni. Chi naviga online si ritrova “dirottato”, finisce su siti trappola pur avendo digitato l’indirizzo corretto e non si accorge di trovarsi di fronte a banditi che fingono di essere fornitori di telecomunicazioni ucraini.
Nella campagna di attacco, gli aggressori hanno utilizzato domini che fingevano di appartenere alle società di telecomunicazioni ucraine Datagroup, Kyivstar ed EuroTransTelecom.
L’attacco inizia inducendo potenziali vittime a visitare i domini. Solitamente tutto comincia con una manovra di “spamming”, ovvero con l’inoltro di e-mail inviate da domini falsi, in grado di far sembrare che il mittente sia un fornitore di telecomunicazioni ucraino.
La lingua del sito è l’ucraino e gli argomenti sono relativi alle operazioni militari e ad avvisi di carattere amministrativo. Per avere idea, la pagina web più comune includeva – in ucraino – il testo “Amministrazione militare regionale di Odessa”.
All’interno di quelle pagine era nascosto (pronto a trasferirsi sul computer o sullo smartphone dell’ignaro visitatore del sito) un malware creato nel 2018, diffusosi nel 2019 e etichettato come Warzone RAT.
I pirati attualmente in azione sembrerebbero collegati al famigerato gruppo hacker Sandworm. Avrebbero scelto di utilizzare codici maligni ampiamente disponibili in Internet per rendere più difficile l’attribuzione dell’azione a qualcuno e così da impedire di ricostruire la composizione del fronte nemico.
