Delineare i contorni degli scenari cyber ormai aperti in Russia e Ucraina, i gruppi coinvolti e disinformazione in Italia

Con la newsletter di sabato 26 febbraio ho delineato alcuni punti chiave di quelli che sono stati finora gli attacchi sul fronte della guerra Ucraina-Russia, che si sta combattendo anche in modalità cyber. Mentre le ondate di attacchi sono sempre più preponderanti, cerco oggi di dettagliare qualche contorno sulle tracce che questi attacchi stanno lasciando. Stiamo assistendo a una guerra tra Stati e tra gruppi criminali, l’attivismo inoltre, si scopre avere un ruolo fondamentale nella formazione di schieramenti polarizzati.

Risvolti sul leak di 200 GB a Tetraedr

Come segnalato sulla puntata di NINAsec di ieri, DDoSecrets ha diffuso un leak della società bielorussa Tetraedr, operato da un gruppo di attivisti schierato apertamente contro le politiche di Putin, Anonymous Liberland insieme a The Pwn-BAR Hack Team. Tetraedr è un produttore di armamenti missilistici, il furto e l’esfiltrazione dei dati comprende 200 GB di email della società.

Essendo due gruppi di attivisti, non si ha il profilo di un’organizzazione dietro questo hack. Non si parla infatti, come in altri casi es. ransomware, di organizzazioni criminali, ma di singoli attivisti che aderiscono a un concetto, a una politica precisa, autoproclamandosi aderenti di un pensiero che è il titolo del movimento scelto, così fino a formare un gruppo.

Questo dettaglio ci è utile per capire un ultimo risvolto che si è delineato nelle prime 24 ore dalla diffusione di questi dati e mi riferisco alle proclamazioni fake e troll che si generano, quando non c’è un chiaro segnale sull’autore del gesto.

Il fatto sarebbe successo effettivamente addirittura prima che venisse diffuso il leak, ma è emerso solo ora. Grandi e importanti testate giornalistiche tra cui Bloomberg, Motherboard e TheRecord, hanno ricevuto una strana e-mail sulla rivendicazione del leak, però recante una strana firma: quella di Juan Andres Guerrero-Saade, importante e noto ricercatore di sicurezza informatica di SentinelOne.

La mail integrale

Chiunque penso possa non avere dubbi sulla natura troll della vicenda, ma sembra che qualcuno interno al gruppo, abbia deciso di fare questo gesto nei confronti del ricercatore, proprio per rimarcare delle passate rivelazioni in sua analisi, proprio su gruppi di attivisti.

Link onion in mail: http://c7bncz4phqkgist3socbwyds2nfgov66tilqdjowymgn6l3vzrwyryid.onion/ ora (27/02/2022 ore 15.00) non raggiungibile.

Dettagli su Wiper e attacchi a Ucraina

Per la campagna di attacchi in atto, pro Russia, quindi rivolti a istituzioni e obiettivi di ogni tipo ucraini, ho analizzato i nuovi Wiper e Cyclops Blink, per Cybersecurity360. Per questi ultimi mi sento di aggiungere il link a questo nuovo paper, che riporta una ricca raccolta di IoC lato crisi Ucraina.

Vorrei solo aggiungere il defacing, in atto su siti e aziende dell’Ucraina, ultimo rilevato quello operato dal famoso threats actor elharam4.df, contro Mastelli, grande gruppo aziendale di cosmesi (here il deface nel sito).

Come già analizzato ulteriori dati del governo ucraino e dei civili sono apparsi su un servizio Tor onion chiamato “Free Civilian“, che si ritiene possa essere affiliato a un attore di minacce identificato dal nickname “Vaticano” su RaidForums (che ricordo essere ancora inattivo, raggiungibile ma completamente flush, vuoto, installazione ristretta senza accesso ai contenuti).

Movimentazioni a supporto dell’Ucraina

Lato pro Ucraina al netto degli interventi diretti di aziende e personaggi di spicco in ambito cyber che hanno rivendicato pubblicamente la loro solidarietà e sostegno all’Ucraina (anche con raccolte fondi e attivazioni servizi priceless) l’attivismo lo fa da padrona.

Degni di nota sono sicuramente i segnali di aziende di telecomunicazioni Vodafone e Fastweb offrono giga, sms, chiamate gratis per clienti Ucraini. Oppure le aziende VPN che hanno aperto il loro listino prezzi per i propri servizi di navigazione protetta. O ancora la britannica SOS Intelligence che offre analisi dei dati e intelligence sui rischi connessi ai dati, apre il pacchetto Enterprise per tutti gli enti e istituzioni di ricerca Ucraine che ne avessero bisogno.

Contemporaneamente ci si muove anche su Telegram. Viene istituito direttamente da gruppi militari interni all’Ucraina, un nuovo canale, con sito web annesso, nel quale vengono collezionati e rivelati, esponendone foto, video e documenti di riconoscimento di soldati russi arrestati, uccisi o ricercati dall’esercito/resistenza Ucraino. Il movimento si chiama Cerca il tuo! e si pone l’obiettivo proprio di esporre queste persone a parenti/conoscenti che ne hanno perso le tracce, senza censura alcuna.

Aggiornamenti su OpRussia, battaglia cyber che si sta svolgendo tra il gruppo attivista GhostSec (pro Ucraina), costola ormai separata di Anonymous, e GhostWriter (pro Russia, gruppo organizzato sovvenzionato dallo Stato, no attivismo).

Rivendicato il furto dei dati da siti governativi russi. C’è una scaletta di attacco e sembra che economy.gov.ru, sudak.rk.gov.ru e altri vari siti gov.ru e mil.ru siano già stati presi. Online un primo piccolo sample di 3 MB che però ci dà l’idea della magnitudo del leak completo. Dentro dump MySQL governativi, grandi quantità di logs direttamente dai server web compromessi.

Anche il governo stesso dell’Ucraina si attrezza e su Telegram istituisce una via di comunicazione ufficiale, per il tramite del Ministero della Difesa, un canale sul quale far transitare gli obiettivi russi. Quelli che lo stato pensa siano destinazioni per attacchi strategici e sensibili contro la Federazione di Putin, dati in pasto direttamente ai gruppi attivi sul fronte, con una vera chiamata alle armi. Spuntano liste di aziende, enti e istituzioni sensibili e strategiche russe da colpire. Una nuova armata IT per tutta l’Ucraina.

Il canale risulta creato il 26 febbraio 2022 alle ore 16.50 (ITA), a poco meno di 24 ore racchiude oltre 160mila utenti.

Propaganda e disinformazione noVax

Nel frattempo, piccolo spazio anche per evitare che si propaghino, più di quanto già non lo siano, varie fake news tutte italiane anche sulla vicenda che riguarda la guerra in Ucraina. Gli attori qui sono gli stessi che fino a 3 giorni fa, tracciavamo per carpirne il sentimento noVax della pandemia da COVID19.

Riepilogo qui ciò che solamente su Telegram sono riuscito a intercettare finora, almeno per mettere ordine e fare le dovute smentite:

Fonte chiaramente anonima e insignificante. La Polonia ha sottolineato più di una volta il proprio sostegno verso l’Ucraina, perché dovrebbe occupare il territorio di quest’ultimo? Al massimo si tratta di collaborare, stiamo attendi alle notizie e alle parole.

Lo stato di emergenze di cui parla Draghi è relativo alla crisi Ucraina, non ha nulla a che vedere con quello per la pandemia sanitaria, per la quale invece le restrizioni e lo stato di emergenza cesserà nonostante la guerra.

L’Italia ha sempre preso posizione su tutti i fronti di guerra, esattamente con la posizione della NATO della quale alleanza fa parte. Nella maggior parte dei casi anche con missioni sul campo, e in alcuni casi anche con vittime da attentati e tra i soldati italiani stessi.

Aggiornamenti:

  • L’articolo è stato aggiornato il 27 febbraio 2022 ore 15.00 per i dati sugli utenti del nuovo IT ARMY e per il link onion del sito di Anonymous Laberland.