Il conflitto Russia Ucraina e gli inquietanti risvolti sul crimine informatico

Il conflitto Russia Ucraina e gli inquietanti risvolti sul crimine informatico
(ansa)
3 minuti di lettura

Da più parti si abusa del termine cyber war riferendo le attività di hacking, spionaggio e disinformazione che stanno caratterizzando questo drammatico conflitto. Purtroppo, l’accezione pura del termine guerra informatica prevede un utilizzo più distruttivo degli strumenti informatici cui siamo abituati. Un attacco cibernetico potrebbe distruggere sistemi militari così come causare danni irreparabili ed una centrale nucleare portando potenzialmente alla perdita di vite umane. Al momento siamo in una prima fase si una disputa cyber che potrebbe avere una escalation importante ed al momento imprevedibile viste le capacità offensive di stati come la Russia.

La stessa Russia è notoriamente patria di diverse organizzazioni cyber criminali tra le più pericolose, capaci negli scorsi anni di mettere sotto scacco le principali aziende mondiali con attacchi di varia natura. Parleremo oggi di un caso eclatante, del principale gruppo cybercriminale nel panorama delle minacce odierno, la gang ransomware Conti.

Uno degli aspetti più inquetanti di questo conflitto sul fronte cyber è la presenta di numerosi attori non statali sul campo di battaglia, il cyberspazio. Da un lato esperti informatici che hanno risposto alla chiamata alle armi del governo ucraino supportati da numerosi gruppi vicini ad Anonymous, dall’altro alcune tra le principali gang criminali, come Conti e Stormous che hanno annunciato il pieno supporto a Mosca. Per quale motivo un gruppo criminale deve schierarsi al fianco di un governo che di fatto dovrebbe perseguire le sue operazioni?

Le ipotesi sono due:

  • I gruppi criminali offrono il supporto a Mosca in cambio di una sanatoria sui crimini commessi in passata.
  • La linea che divide attori nation-state da gruppi cyber criminali è più sottile di quanto immaginiamo, rivelando pericolose sovrapposizioni tra i due mondi come più volte ipotizzato.

Tutto ha avuto inizio con la dichiarazione ufficiale del gruppo Conti del supporto alla Russia nella difesa del proprio perimetro strategico e critico nazionale.

Dichiarazione gruppo Conti a supporto della Russia

Il messaggio apparso sul sito del gruppo ospitato nella rete Tor non è passato inosservato, molti affiliati del gruppo hanno espresso un forte dissenso nei confronti dell’organizzazione Conti. Il culmine ha portato ad una frattura interna alla gang criminale, qualcuno con accesso alla sua struttura interna ha infatti pubblicato una grande quantità di materiale interno all’organizzazione esponendone di fatto le operazioni. La talpa è un criminale informatico di nazionalità ucraina che è riuscito in un atto dimostrativo senza precedenti.

Con il supporto dell’esperto di cybersecurity Dario Fadda abbiamo analizzato il materiale inizialmente trapelato via AnonFiles condivisi via Twitter. La parte più interessante è relativa alle conversazioni interne al gruppo e con le loro vittime. Con il passare si sono aggiunti nuovi leaks relativi alle conversazioni con gli affiliati e con altri gruppi criminali con i quali interagivano per fruire dei loro servizi, tra cui la temuta gang criminale, Trickbot.

Trickbot è stato un pericoloso gruppo criminale, che mise in piedi nel 2016 una botnet malevola al fine di distribuire il proprio malware, rivolto specialmente a operazioni di trojan bancario. Trickbot è riconosciuto come una delle operazioni cybercriminali più efficienti di sempre che una volta compromessi i sistemi di aziende in tutto il mondo ne offriva l’accesso ad altri gruppi criminali come gang specializzate nella diffusione di ransomware.

Nella documentazione Conti rilasciata online della cyber resistenza pro-Ucraina vi sono ovviamente documenti che relativi a Trickbot che evidenziano collegamenti tra questa rete criminale e gli apparati dell’intelligence russa, l’Fsb. I documenti includono informazioni sui membri che negli anni hanno fatto parte di questa organizzazione criminale, addirittura troviamo le schede segnaletiche identificative, comprensive di nickname, nomi e cognomi reali, utenze social, utenze telefoniche e foto personali. Per ciascuno dei membri esposti, anche le conversazioni di chat intercettate che sono relative almeno agli ultimi 18 mesi.

“Personalmente ho catturato e analizzato finora 24 persone presenti nei dati trapelati, tutte coinvolte in operazioni cyber criminali mediante botnet come Trickbot, parliamo questi individui utilizzavano gli accessi della gang per distribuire nelle reti compromesse ransomware delle principali ransomware gang come Wizard Spiders, Maze, Conti, Diavol, e Ruyk.” Spiega Fadda. “Questi dati sono oro per gli analisti ed investigatori che dimostrano le relazioni tra il governo di Mosca e l’ecosistema della criminalità informatica organizzata.”

Nelle conversazioni, infatti, sono descritte le modalità di scambio informazioni (e filesharing con i link originali), password utilizzate per l’accesso a piattaforme interne all’organizzazione e pianificazioni di attacchi operati in passato.

“Chiaro, quindi, che nell’analizzare l’attuale scenario di guerra sotto il profilo cyber non possiamo trascurare la pletora di attori non statali coinvolti il cui apporto alle operazioni militari attuali e future potrebbe essere devastante.” Continua Fadda.

Pensiamo a tutte le vittime delle principali gang ransomware ed agli accessi ad aziende ed organizzazioni governative che questi gruppi criminali hanno collezionato nel tempo. Sappiamo che queste informazioni sono condivise con l’intelligence russa che potrebbe utilizzarle per colpire queste aziende in risposta alla crescente pressione della diplomazia internazionale. Per proteggere le nostre infrastrutture è necessario mantenere uno stato di massima allerta favorendo la circolazione di informazioni ed analisi sulle operazioni di questi gruppi criminali, degli attori di stato russi, e della possibile relazione tra questi attori malevoli. Il peggio potrebbe essere dietri l’angolo.

 

2

Articoli rimanenti

Accesso illimitato a tutti i contenuti del sito

3 mesi a 1€, poi 2.99€ al mese per 3 mesi

Attiva Ora

Sblocca l’accesso illimitato a tutti i contenuti del sito