TL;DR Non si arresta l’ondata di attacchi cyber ai danni d’infrastrutture, aziende e strutture governative russe. Una ondata che preoccupa anche l’Europa, Italia compresa, per le risposte che potrebbero non tardare troppo ad arrivare, ai danni delle infrastrutture ICT.
L’escalation di attacchi cyber contro la Russia di Putin non accenna ad arrestarsi. Dopo i numerosi siti web “tango-down” a seguito degli attacchi DDoS da parte sia di Anonymous che della “IT ARMY of Ukraine“, entrano in gioco anche attori come Google che, via Twitter, annunciano il blocco dei canali Youtube connessi alle emittenti russe RussiaToday e Sputnik.
Da citare l’attacco di Anonymous al sistema ferroviario bielorusso, bloccato fino a che -dicono gli attaccanti- “la Russia non si ritirerà dall’Ucraina“.
Una cyberwar già a livello mondiale, almeno del mondo occidentale, se si può parlare di confini fisici in un contesto che non ne ha. E che comunque vede anche le infrastrutture Italiane a rischio di cyberattacchi da parte russa e dei suoi simpatizzanti, tanto da far emettere un nuovo bollettino al CSIRT nazionale, “Innalzare la postura difensiva in relazione alla situazione ucraina“, dai toni perentori e allarmanti.
Del resto, anche nella giornata di ieri altri due episodi meritevoli di particolare attenzione: la diffusione di un importante leak proveniente dal Nuclear Safety Institute di Mosca: oltre 2GB di dati esfiltrati e pubblicati sul web.
e la pubblicazione di alcune chat interne relative al gruppo ransomware Conti, che nei giorni scorsi si era schierato a fianco di Putin, minacciando di usare “tutti gli strumenti a loro disposizione“. Una dichiarazione che, secondo alcuni commentatori, avrebbe causato malumori interni e la spaccatura del gruppo stesso: che sia questo il motivo dei numerosi leak ai suoi danni di questi giorni?
Queste chat, che sembrano provenire da un IP del provider lituano Bacloud (probabilmente una macchina in hosting da loro), in seguito di un attacco al loro server XMPP da parte di un ricercatore di sicurezza ucraino (almeno così riferisce, su Twitter, BleepingComputer), coprono un arco temporale da gennaio 2021 al 27 febbraio 2022. Nelle chat, disponibili anche sul motore di ricerca OSINT IntelX, si trovano molte informazioni utili a ricostruire l’attività di una delle più temibili ransomware gang, tra cui l’indirizzo di un wallet bitcoin riservato, sembra, a uso interno del gruppo.
Su Twitter c’è chi ha postato quello che potrebbe essere il “pannello di controllo” del ransomware, trovato analizzando le chat compromesse. L’interfaccia da cui i cybercriminali controllano lo stato degli attacchi e i sistemi compromessi, inviando l’ordine di esfiltrare i dati o di cifrarne il contenuto.
Per finire, ma non per ordine d’importanza (le notizie si susseguono a un ritmo davvero vorticoso), il gruppo ATW “Against The West” ha dichiarato di aver “bucato” Sberbank, gruppo bancario russo controllato dal Governo, con la pubblicazione in Rete di numerose informazioni riservate, tra cui la zona DNS dell’infrastruttura interna, le chiavi private SSL, le API e molto altro.
Per finire, segnalo l’articolo del Microsoft Security Response Center in merito alla situazione dei cyber threads in Ucraina “Cyber threat activity in Ukraine: analysis and resources”.
Dal fronte cyber è tutto. A voi la linea.