Il governo degli Stati Uniti insieme ad una coalizione di partner internazionali governativi hanno ufficialmente attribuito la responsabilità di un’attività criminale svolta da un gruppo di hacker di stampo russo identificato come Cadet Blizzard ( Unità 29155 ) incluso all’interno della Direzione generale dell’intelligence principale (GRU ).
Questo actor è responsabile su larga scala di operazioni di violazione informatiche contro obiettivi globali a fini di spionaggio, sabotaggio e danno alla reputazione di persone almeno dal 2020″, hanno affermato le agenzie .
Dall’inizio del 2022, l’obiettivo principale dell’organizzazione sembra essere stato quello di colpire e ostacolare gli sforzi internazionali per fornire aiuti all’Ucraina”.
Gli obiettivi degli attacchi si sono concentrati dopo su infrastrutture critiche e settori chiave delle risorse dello stato avversario, tra cui i servizi governativi, i servizi finanziari, i sistemi di trasporto, l’energia e i settori sanitario dei membri della NATO, dell’Unione Europea e dei paesi centroamericani e asiatici.
Il comunicato è stato pubblicato la scorsa settimana come parte di un’operazione più articolata e complessa denominata Operazione Toy Soldier, a cui hanno partecipato le autorità di sicurezza informatica e di intelligence degli Stati Uniti, dei Paesi Bassi, della Repubblica Ceca, della Germania, dell’Estonia, della Lettonia, dell’Ucraina, del Canada, dell’Australia e del Regno Unito.
Cadet Blizzard noto anche come Ember Bear, FROZENVISTA, Nodaria, Ruinous Ursa, UAC-0056 e UNC2589, ha attirato l’attenzione nel gennaio 2022 per aver distribuito il malware WhisperGate (noto anche come PAYWIPE) contro numerose organizzazioni ucraine, prima dell’invasione militare totale del Paese da parte della Russia.
A giugno 2024, un cittadino russo di 22 anni di nome Amin Timovich Stigal è stato incriminato negli Stati Uniti per un suo presunto ruolo nell’organizzazione per la partecipazione agli attacchi informatici perpetrati contro lo stato Ucraino utilizzando proprio il malware wiper.
Successivamente il Dipartimento di Giustizia degli Stati Uniti (DoJ) ha incriminato cinque ufficiali associati all’Unità 29155 per associazione a delinquere allo scopo di commettere intrusioni informatiche e frodi telematiche contro obiettivi in Ucraina, negli Stati Uniti e in altri 25 paesi della NATO.
Di seguito sono elencati i nomi dei cinque ufficiali:
- Yuriy Denisov (Юрий Денисов), colonnello dell’esercito russo e comandante delle operazioni informatiche dell’unità 29155
- Vladislav Borovkov (Владислав Боровков),
- Denis Denisenko (Денис Денисенко),
- Dmitriy Goloshubov (Дима Голошубов)
- Nikolay Korchagin (Николай Корчагин),
Quest’ultimi tutti luogotenenti dell’esercito russo assegnati all’Unità 2915 che hanno lavorato alle operazioni informatiche
il Dipartimento ha affermato:
Gli obiettivi degli imputati includevano sistemi informatici e dati del governo ucraino in settori anche diversi da quello militare o della difesa in tutto il mondo maggiormente contro i paesi che fornivano supporto all’Ucraina”.
Contemporaneamente il programma Rewards for Justice del Dipartimento di Stato americano ha annunciato una ricompensa fino a 10 milioni di dollari per chiunque fornisca informazioni sull’ubicazione fisica di uno qualsiasi degli imputati o sulle loro attività informatiche dannose.
Ci sono indizi che l’Unità 29155 sia responsabile di tentativi di colpo di stato, sabotaggi, intrusioni informatiche, spionaggio, tentativi di assassinio in tutta Europa.
L’obiettivo finale di queste intrusioni informatiche è quello di raccogliere informazioni sensibili a fini di spionaggio, danneggiare la reputazione dei vertici militari avversari divulgando tali dati e dirigendo operazioni su larga scala volte a sabotare i sistemi informatici contenenti dati preziosi.
Inoltre si ritiene che l’unità 29155 sia composta da ufficiali GRU junior in servizio attivo, che si affidano anche a noti criminali informatici e ad altri collaboratori civili come Stigal per facilitare i propri incarichi.
Tra queste rientrano la deturpazione di siti web, la scansione delle infrastrutture, l’esfiltrazione e pubblicazione di dati su domini di siti web pubblici o la loro vendita ad altri actor.
Le catene di attacco iniziano con un’attività di scansione che sfrutta le falle di sicurezza note in Atlassian Confluence Server e Data Center, Dahua Security e nei firewall di Sophos per violare gli ambienti delle vittime, seguita poi dall’utilizzo di Impacket per il post-sfruttamento e movimenti laterali, infine l’esfiltrazione dei dati contenuti nell’infrastruttura.
Gli hacker russi potrebbero aver utilizzato il malware Raspberry Robin come vettore hanno osservato le agenzie. Hanno preso di mira l’infrastruttura Microsoft Outlook Web Access (OWA) delle vittime utilizzando tecniche di spraying per ottenere nomi utente e password valide.
Seguici anche su:
@INSTAGRAM https://www.instagram.com/hackerpunk2019/
@LINKEDIN https://www.linkedin.com/mwlite/in/fernandoc-364ab419a
@FACEBOOK https://www.facebook.com/hackerpunk19202
@EBOOK
https://amzn.eu/d/6dcujGr
@EBOOK (English version)
https://amzn.eu/d/0yu1ldv
@YOUTUBE https://www.youtube.com/channel/UCiAAq1h_ehRaw3gi09zlRoQ