Offensive nel conflitto russo-ucraino, campagne su larga scala ad opera di APT finanziati da Mosca, colpite Westpole e altre aziende italiane

Russia-Ucraina: le ultime dal fronte

L’operatore di telefonia ucraino Kyivstar ha annunciato di essere caduto vittima di un massiccio attacco informatico che ha temporaneamente messo fuori uso i servizi di comunicazione e l’accesso a internet portando a un guasto tecnico su larga scala. Di proprietà della multinazionale con sede ad Amsterdam VEON Ltd., l’azienda ha informato che i dati dei clienti non sono stati compromessi e che sta attualmente indagando sull’accaduto, collaborando con le Forze dell’Ordine ucraine e i servizi statali competenti. Al momento, due avversari allineati a Mosca, KillNet e Solntsepek hanno rivendicato la responsabilità dell’offensiva. Mentre KillNet non ha fornito alcuna prova dell’intrusione, Solntsepek – presumibilmente associato a Sandworm – ha pubblicato sul suo canale Telegram diversi screenshot che mostrano il presunto accesso ai server di Kyivstar. Il gruppo ha dichiarato di aver distrutto più di 10.000 computer e 4.000 server, inclusi i sistemi aziendali di cloud storage e backup. D’altro canto, la Defence Intelligence of Ukraine ha annunciato di aver attaccato il Servizio Fiscale Federale (FTS) russo nell’ambito di un’operazione informatica. In particolare, gli agenti dell’intelligence militare di Kiev sono riusciti a penetrare in uno dei server centrali dell’FTS e in più di 2.300 dei suoi server regionali localizzati in tutta la Russia, nonché nella Crimea occupata, per poi distribuire malware. Allo stesso tempo, hanno colpito anche la società informatica Office[.]ed-it[.]ru, provider di servizi di data center dell’ente governativo di Mosca. Secondo quanto riportato dall’intelligence militare ucraina, l’operazione ha portato alla completa distruzione dell’infrastruttura dell’organismo statale e alla paralisi della comunicazione tra l’Ufficio centrale di Mosca e i suoi 2.300 dipartimenti territoriali, così come quella tra l’FTS e Office[.]ed-it[.]ru.

 State-sponsored: tracciate attività dei russi APT 29, Sofacy e Callisto

Le americane FBI, CISA e NSA, il Servizio di controspionaggio militare polacco (SKW), il CERT Polska (CERT.PL) e il National Cyber Security Centre (NCSC) del Regno Unito hanno rilasciato un advisory congiunto nel quale dichiarano che a partire da settembre 2023 il russo APT 29 legato all’SVR sta sfruttando su larga scala la vulnerabilità CVE-2023-42793 – corretta a metà dello stesso mese – prendendo di mira server che ospitano il software JetBrains TeamCity. Inoltre, da marzo 2022, ricercatori di sicurezza hanno osservato Sofacy condurre tre campagne distinte basate sullo sfruttamento della vulnerabilità di Microsoft Outlook CVE-2023-23397 –  patchata nel marzo 2023 – per colpire almeno 30 organizzazioni in 14 Paesi ritenute di probabile importanza strategica per l’intelligence militare e il governo di Mosca. Dei 14 Stati presi di mira in tutte e tre le operazioni, quasi tutti sono membri NATO (Bulgaria, Repubblica Ceca, Italia, Lituania, Lussemburgo, Montenegro, Polonia, Romania, Slovacchia, Turchia e Stati Uniti) ad eccezione di Ucraina, Giordania ed Emirati Arabi Uniti. Ulteriori analisti hanno osservato l’APT distribuire una backdoor denominata Headlace, sfruttando come esca documenti autentici riguardanti il conflitto tra Israele e Hamas associati alle Nazioni Unite, alla Banca d’Israele, al Congressional Research Service degli Stati Uniti, al Parlamento europeo, a un think tank ucraino e alla commissione intergovernativa Azerbaigian-Bielorussia. Infine, il National Cyber Security Centre (NCSC) britannico e Microsoft hanno avvertito che il gruppo Callisto sta portando avanti campagne di spear phishing in diverse aree di interesse aumentando la sofisticatezza e l’evasione degli attacchi in corso.

Ransomware: colpita Westpole e rivendicati nuovi attacchi in Italia

A partire dalle prime ore dell’8 dicembre 2023, sono stati riscontrati malfunzionamenti nell’infrastruttura cloud Westpole su entrambi i nodi di Roma e Milano. Su questi sono installati gli applicativi che supportano i servizi legati al processo di fatturazione elettronica di Gruppo Dylog e Gruppo Buffetti, nonché quelli forniti da PA Digitale S.p.A. alla Pubblica Amministrazione. L’azienda specifica che i firewall non hanno evidenziato alcun traffico riconducibile all’esfiltrazione di dati. Inoltre, per tutti i servizi che prevedevano l’utilizzo di una componente repository di tipo NAS, i dati non risultano essere compromessi. Allo stato attuale delle analisi non risultano accessi non coerenti con il normale utilizzo business delle applicazioni nei giorni precedenti all’attacco. Sulla base delle evidenze riportate, Westpole ritiene poco probabile che i dati siano stati esfiltrati, ma crede che l’attaccante abbia mirato al blocco dell’infrastruttura e non al suo contenuto. L’offensiva che si è rivelata essere di natura ransomware ha effettivamente criptato i file di oltre 1500 macchine virtuali. Oltre a ciò, sono state individuate nuove offensive indirizzate al Bel Paese. Akira Team ha rivendicato sul proprio sito dei leak la presunta compromissione di Studio MF (Studio Monica Fontana); mentre Hunters International ha reclamato la violazione dell’Azienda USL di Modena, colpita lo scorso novembre da un attacco informatico insieme all’Azienda Ospedaliero-Universitaria di Modena e all’Ospedale di Sassuolo S.p.A. Stando a quanto dichiarato nel blog, l’operatore sembrerebbe essere in possesso di 954.7 GB di dati e avrebbe pubblicato alcuni sample.