La guerra tradizionale fa passare in secondo piano quella cibernetica. Niente morti, niente sangue, ma non si può dire niente danni.
Lo scenario di questi giorni vede l’apparizione di un nuovo gruppo di pirati informatici agli ordini del Cremlino, si tratta del gruppo russo Coldriver che ha ampliato il suo obiettivo nei confronti dei funzionari occidentali con l’uso di malware per rubare dati sensibili, lo ha rivelato il Threat Analysis Group (TAG) ovvero il team di Google che individua e analizza le minacce emergenti.
La temibile squadra di Coldriver, alias Star Blizzard, è collegata al servizio di intelligence russo, l’FSB. È noto che, per scopi di spionaggio, si concentra su campagne di phishing di credenziali rivolte a ONG di alto profilo, ex ufficiali dell’intelligence e militari e funzionari governativi di Paesi aderenti alla NATO.
Nel dicembre 2023 un primo allarme era arrivato dal National Cyber Security Center (NCSC) britannico che individuava in quel gruppo la radice di una manovra informatica sostenuta volta a interferire nella politica e nei processi democratici del Regno Unito.
Recentemente (è storia di questi giorni) il TAG ha affermato di aver osservato Coldriver andare oltre il phishing per ottenere credenziali e fornire malware in grado di esfiltrare informazioni sensibili dall’organizzazione presa di mira.
Le modalità di azione sono state ricostruite chiaramente.
Ogni volta uno dei Coldriver finge di essere un esperto di un particolare settore e cerca di costruire un rapporto epistolare con l’obiettivo prima di inviare un collegamento di phishing progettato per rubare le credenziali del bersaglio.
Gli hacker russi inviano agli obiettivi documenti PDF innocui, spesso presentati come un articolo che il finto esperto vorrebbe pubblicare ma non prima di aver avuto qualche feedback da gente del mestiere e da chi nel mondo istituzionale ricopre ruoli di prestigio.
Quando il destinatario apre il PDF, vede il testo che appare crittografato e magari ne chiede il reinoltro. Il criminale a quel punto manda un link giustificandolo come salvifico per la facile apertura del file cifrato. Il collegamento – che di solito punta ad un sito di archiviazione in cloud – si rivela fatale ed innesca una trappola micidiale, installando sul computer del malcapitato una backdoor che permetterà all’aggressore un agevole indebito accesso plenipotenziario al computer della vittima. L’utility malevola si chiama SPICA e nel cruscotto di gestione delle attività si maschera dietro al nome “CalendarChecker”.
La sua operatività è davvero ampia perché riesce ad eseguire comandi shell arbitrari, il caricamento e il download di file, rubare i cookie dal browser, esaminare e metter mano al filesystem, enumerare i documenti ed estrarli in un archivio.
Occhi aperti e dita incrociate, ma forse un aggiornamento delle misure di sicurezza non guasterebbe.
