Microsoft sostiene che un gruppo di hacker collegati ad agenzie di spionaggio russe sta utilizzando dispositivi come telefoni e stampanti connessi a Internet per entrare nelle reti aziendali.
di Patrick Howell O’Neill
Gli hacker russi, conosciuti con i nomi di Strontium, Fancy Bear e APT28, sono collegati all’agenzia di intelligence militare GRU.
Il gruppo è attivo almeno dal 2007 e gli è stato attribuito un lungo elenco di misfatti tra cui l’hackeraggio ai computer del Democratic National Committee nel 2016, i virus informatici paralizzanti di NotPetya contro l’Ucraina nel 2017 e attacchi a gruppi politici in Europa e Nord America per tutto il 2018 .
La nuova campagna condotta dalla GRU ha preso di mira l’Internet delle cose, tra cui un telefono VOIP (voice over Internet Protocol), una stampante per ufficio connessa e un decodificatore video per ottenere l’accesso alle reti aziendali.
Microsoft è la più diffusa tra le reti aziendali globali che privilegiano le funzionalità Windows. Il Threat Intelligence Center di Microsoft ha individuato il nuovo attacco di Fancy Bear a partire dall’aprile del 2019.
Sebbene dispositivi come smartphone e computer desktop siano spesso fondamentali quando si parla di sicurezza, sono la stampante, la fotocamera o il decodificatore che lasciano una porta aperta all’hacker.
In genere, Microsoft ha verificato che l’accesso di Fancy Bear alle reti target avviene perché i dispositivi IoT hanno password predefinite. In un caso, l’ultimo aggiornamento della sicurezza non era stato applicato.
Usando questi dispositivi come punto di partenza, gli hacker hanno creato una testa di ponte da cui muoversi per guadagnare un ulteriore accesso.
“Una volta che l’hacker è riuscito ad accedere, una semplice scansione della rete per cercare altri dispositivi non sicuri gli permette di spostarsi attraverso la rete alla ricerca di account di livello superiore che gli garantiscono l’accesso a dati di valore più elevato”, ha spiegato Microsoft in un post sul blog.
Gli hacker sono passati da un dispositivo all’altro, conquistando delle postazioni stabili e mappando la rete mentre procedevano, comunicando con i server di comando e controllo per tutto il tempo.
Microsoft ha seguito da vicino questo gruppo nell’ultimo anno. Delle 1.400 notifiche che l’azienda ha consegnato a chi stava subendo l’attacco di Fancy Bear, il 20 per cento è stato indirizzato a organizzazioni non governative globali, think tanks o organizzazioni politiche. Il restante 80 per cento ha avuto destinatari in diversi settori: governativo, militare, medico e tecnologico.
“Abbiamo anche osservato e notificato attacchi Strontium contro i comitati organizzativi olimpici, le agenzie antidoping e il settore alberghiero”, ha comunicato il blog di Microsoft.
L’anno scorso, l’FBI ha intrapreso una battaglia senza esclusione di colpi contro una campagna di Fancy Bear nota come “VPNFilter” che ha preso di mira router e dispositivi di archiviazione di rete con malware in grado di “murare” un dispositivo, eliminando il firmware e rendendolo inutilizzabile. Questi attacchi hanno colpito in particolare l’Ucraina, il bersaglio preferito di Fancy Bear.
(rp)
