Le recenti campagne dell’APT russo Sofacy

Negli ultimi due mesi sono state rilasciate analisi di campagne di alto profilo associabili al gruppo state-sponsored russo Sofacy che hanno mirato contro target privati e governativi in Europa, Medio Oriente e nel Nord America.

Sofacy (alias Fancy Bear e APT28) è un avversario che si ritiene legato a doppio filo con la Direzione generale per le informazioni militari del Ministero della Difesa di Mosca (GRU). Attivo almeno dal 2007, nel corso degli anni ha colpito una pluralità di obiettivi, principalmente nei Paesi NATO e dell’ex blocco sovietico, nell’ottica di reperire intelligence utile al Cremlino o di influenzare opinioni ed eventi di portata internazionale, sempre in chiave anti-NATO ed antieuropeista. Fra le sue operazioni più eclatanti, si ricordano il data breach ai danni della World Anti-Doping Agency (WADA), dopo la squalifica della Russia dai Giochi Olimpici e Paralimpici di Rio de Janeiro, e la violazione del Comitato nazionale democratico statunitense (DNC), in occasione delle elezioni presidenziali del 2016.

Una delle tecniche che caratterizzano la maggior parte delle campagne tracciate a partire da marzo 2022 è l’exploit per la 0-day CVE-2023-23397 di Microsoft Outlook. La falla è una Elevation of Privilege, sfruttabile senza interazione da parte della vittima, che consente di effettuare attacchi NTLM relay. In particolare, quando un’applicazione Outlook vulnerabile o mal configurata riceve un’e-mail appositamente creata che sfrutta CVE-2023-23397, Outlook invia un messaggio di autenticazione NTLM a una condivisione di file remota controllata dall’attaccante. La risposta di autenticazione NTLM è un hash NTLMv2 che può essere utilizzato per impersonare la vittima, accedendo e operando all’interno della rete target. Le correzioni sono state rilasciate nel Patch Tuesday di marzo 2023. Nell’advisory relativo alla vulnerabilità si comunicava la possibilità che un avversario di matrice russa l’avesse sfruttata in attacchi mirati contro un numero limitato di organizzazioni operanti nei settori governativo, dei trasporti, energetico e militare in Europa.

Da marzo a novembre 2023, l’APT ha condotto regolari operazioni di phishing basate sull’abuso dei tool legittimi Mockbin e InfinityFree e sullo sfruttamento di vulnerabilità note e già corrette, tra cui la CVE-2023-23397 di Microsoft Outlook. In alcuni casi, come vettore di infezione, sono state utilizzate e-mail sul vertice BRICS e su una riunione del Parlamento europeo che sembravano provenire da specifiche entità geopolitiche. Fra i target vi sono stati enti dei settori della Difesa, aerospaziale, tecnologico, governativo e manifatturiero, dell’istruzione, edilizio e della consulenza, con base in Europa e nel Nord America.

Altre operazioni di Sofacy hanno sfruttato la vulnerabilità di Microsoft Outlook per colpire decine di organizzazioni ritenute di probabile importanza strategica per l’intelligence militare e il governo di Mosca. Le campagne risalgono a marzo 2022, marzo 2023 e al periodo compreso fra agosto e ottobre 2023. Fra i target figurano infrastrutture critiche ed entità che forniscono informazioni riguardanti affari diplomatici, economici e militari, come quelle appartenenti ai settori energetico, Oil&Gas, governativo, diplomatico, della Difesa, dei trasporti, dell’aviazione, della logistica, delle telecomunicazioni e IT. Le realtà coinvolte sono localizzate in Paesi NATO (Bulgaria, Repubblica Ceca, Italia, Lituania, Lussemburgo, Montenegro, Polonia, Romania, Slovacchia, Turchia e Stati Uniti) e in Ucraina, Giordania ed Emirati Arabi Uniti. Si segnala, inoltre, che il gruppo ha preso di mira almeno un Comando NATO Rapid Deployable Corps.

A ottobre 2023, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) francese ha pubblicato un rapporto riguardo alcune campagne Sofacy, tracciate a partire dal 2021, contro enti governativi, aziende, università, istituti di ricerca e think tank localizzati in Francia. In particolare, tra marzo 2022 e giugno 2023, Sofacy ha distribuito e-mail che sfruttavano la vulnerabilità di Outlook utilizzando account di posta elettronica appartenenti ad aziende e router Ubiquiti, tutti compromessi.

A dicembre 2023, infine, il Cyber Command polacco (POL Cyber Command) ha rilasciato un report su attività malevole contro enti pubblici e privati della Polonia, le cui caratteristiche compaiono anche in analisi su Sofacy rilasciate precedentemente da enti governativi statunitensi e britannici.