WEEKLY THREATS

Attacchi cyber in vista delle elezioni europee, le ultime dal conflitto russo-ucraino, offensive inedite in Italia

10 Giugno 2024
Attacchi cyber elezioni europee TS-Way cover

Parlamento europeo: colpita la CDU tedesca e rivendicati DDoS hacktivisti alla vigilia delle elezioni

Alla vigilia delle elezioni del Parlamento europeo che si svolgeranno dal 6 al 9 giugno 2024, l’Unione Cristiano-Democratica (Christlich Demokratische Union Deutschlands, CDU) di Germania, il principale partito di opposizione del Paese, ha subito un grave attacco informatico che lo ha costretto a mettere temporaneamente fuori uso parti della sua infrastruttura IT. Ad annunciarlo è stato il Bundesministerium des Innern und für Heimat – BMI (Ministero Federale dell’Interno tedesco) il quale sabato 1° giugno ha dichiarato che il Bundesamt für Sicherheit in der Informationstechnik – BSI (Ufficio Federale per la Sicurezza Informatica) e il Bundesamt für Verfassungsschutz – BfV (Ufficio Federale per la protezione della Costituzione) stanno lavorando intensamente per respingere e indagare sull’accaduto e prevenire ulteriori danni. Tuttavia, il BMI non ha fornito alcun dettaglio sull’offensiva e non ha rivelato chi si sospetta ci sia dietro o quali danni abbia causato alle reti della CDU. Un portavoce del Ministero avrebbe riferito che il modo in cui è stato condotto l’attacco fa supporre si tratti di un avversario esperto. La notizia dell’incidente segue la notifica di un ulteriore attacco rivolto contro un’entità politica tedesca – il Partito Socialdemocratico (Sozialdemokratische Partei Deutschlands, SPD) – che è stato attribuito al russo Sofacy. Sul versante hacktivista, invece, il collettivo filorusso NoName057(16) ha rivendicato una serie di offensive DDoS collegate alle elezioni europee e condotte assieme ad altri gruppi, dopo aver definito il Parlamento europeo come un “organo pseudo-democratico e profondamente russofobico”. Tra i portali presi di mira ne figurano diversi dell’Unione Europea, siti di alcuni partiti politici dei Paesi Bassi e altre risorse web in Spagna e nei Paesi Bassi.

Russia-Ucraina: identificate nuove offensive

Come per il conflitto sul campo, anche a livello cibernetico continua la guerra tra Mosca e Kiev. L’APT bielorusso Ghostwriter ha sferrato una campagna mirata all’Ucraina, con un potenziale focus sul Ministero della Difesa del Paese (in particolare sulla base militare A0000) e l’obiettivo di rubare informazioni e ottenere l’accesso remoto ai sistemi infetti. Tale campagna include due operazioni osservate rispettivamente ad aprile e maggio 2024. Entrambe hanno presumibilmente previsto l’invio di e-mail di phishing con allegato un archivio ZIP contenente file immagine di droni in formato PNG e JPG e un documento Microsoft Excel con una macro VBA incorporata. Una volta attivata, quest’ultima rilascia un file LNK e un DLL loader. L’esecuzione dell’LNK avvia il DLL loader che innesca il download di un file SVG, il quale decripta, carica e avvia un’altra DLL, portando all’infezione del payload finale. Tuttavia, non è stato possibile recuperare quest’ultimo, ma si sospetta possa trattarsi di Agent Tesla, beacon Cobalt Strike o njRAT. Solo in un ulteriore caso, che si ritiene sia parte della stessa campagna, alcuni analisti sono riusciti a confermare l’uso di Cobalt Strike. L’unica differenza principale riscontrata tra le due operazioni di aprile e maggio risiede nei metodi di esecuzione dei loro DLL loader e nell’algoritmo utilizzato per decifrare il payload scaricato. Dal canto suo, il cluster UAC-0200 ha sferrato attacchi mirati contro dipendenti pubblici, personale militare e rappresentanti di società della Difesa in Ucraina, che hanno previsto la distribuzione del malware Dark Crystal RAT tramite l’applicazione di messaggistica istantanea Signal. Infine, il gruppo state-sponsored della Repubblica Popolare di Lugansk (LNR) Vermin (UAC-0020) ha condotto una campagna denominata SickSync, rivolta contro le Forze di Difesa ucraine. L’avversario ha usato il malware modulare SPECTR, oltre al software legittimo SyncThing – che, tra le altre cose, supporta la creazione di connessioni peer-to-peer tra computer – al fine di ottenere documenti, file, password e altre informazioni.

Italia: segnalati attacchi contro realtà del Paese

Anche questa settimana continuano le rivendicazioni ransomware contro diverse realtà del nostro Paese. Cactus Team ha annunciato la compromissione di Dollmar S.p.A., azienda italiana leader europea nella distribuzione di prodotti chimici destinati a svariati settori industriali; SenSayQ! di Vimer S.r.l. – Industrie Grafiche Italiane, società specializzata nella fabbricazione di materiali da imballaggio e contenitori; mentre Eldorado dell’Istituto di Istruzione Superiore Statale “Giulio Natta” di Milano e dell’impresa di igienizzazione e sanificazione di ambienti LINDOSTAR S.r.l. D’altro canto, il settore sanitario si conferma ancora una volta uno dei più colpiti dal cybercrime. Questa volta ad essere caduta nel mirino di un avversario finora sconosciuto è l’Azienda Socio Sanitaria Territoriale Rhodense (ASST Rhodense), afferente all’ATS della Città Metropolitana di Milano. L’offensiva ha avuto luogo nella notte tra il 5 e il 6 giugno 2024 e ha coinvolto tutte le sedi dell’ASST (presidi di Garbagnate Milanese, Bollate, Rho e Passirana e servizi territoriali delle aree distrettuali Garbagnatese, Rhodense e Corsichese). Stando a quanto indicato al 6 giugno, risulta garantita l’erogazione delle prestazioni ambulatoriali già programmate, tranne quelle di Medicina Nucleare, di radiologia e di laboratorio analisi. Contrariamente, risultano sospesi gli interventi chirurgici non urgenti e le attività di prenotazione presso i CUP, di ricovero programmato e dei Punti Prelievo. I Pronto Soccorso di Garbagnate e Rho sono rimasti attivi (ad eccezione del servizio di invio di ambulanze) ma, in caso di urgenza, l’ASST ha consigliato ai cittadini di rivolgersi ad altre strutture. L’azienda ha inoltre riferito che non è in grado di stimare i tempi di ripristino della rete aziendale. Sono in corso le indagini per comprendere la natura e le modalità con le quali si è svolta l’offensiva, oltre a verificare la disponibilità di backup e la situazione dei singoli sistemi.


Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.