Il servizio di sicurezza dell’Ucraina (SBU) ha finalmente rivelato i nomi degli hacker con sede in Crimea che hanno attaccato l’Ucraina su ordine della Russia per più di sette anni.
Il gruppo di hacker Armagedon (la “d” singola non è un errore, viene spiegato più avanti in questo articolo), noto anche globalmente come Gamaredon o Primitive Bear, ha attaccato le agenzie governative ucraine e le infrastrutture critiche, inclusi ospedali, banche, fabbriche e centrali elettriche. Negli ultimi sette anni, il gruppo ha effettuato almeno 5.000 attacchi informatici in Ucraina. I membri di Armagedon includevano ufficiali dell’intelligence russa con sede in Crimea e “traditori” ucraini che hanno sostenuto l’annessione della penisola da parte della Russia nel 2014, tutti svelati dalla SBU il 4 novembre 2021 con un approfondito rapporto tecnico. Cinque hacker sono stati accusati di tradimento al termine delle indagini.
L’Ucraina vuole anche consegnare alla giustizia gli ufficiali del Servizio di Sicurezza Federale russo (FSB), accusandoli di spionaggio, interferenze non autorizzate nel lavoro dei sistemi elettronici e distribuzione di software dannoso. L’SBU sapeva dell’attività di Armagedon in Ucraina da molto tempo. Ma solo ora le autorità ucraine hanno identificato gli operatori per nome e ottenuto registrazioni di conversazioni e altre prove che confermano gli attacchi per la prima volta. L’SBU afferma che è stata la più grande “campagna di de-anonimizzazione” di un gruppo di hacker sponsorizzato dallo stato nella storia dell’Ucraina. Gli esperti locali di sicurezza informatica, tuttavia, non sono convinti che queste campagne siano efficaci: l’Ucraina raramente trattiene gli hacker russi e di solito chiude i loro casi con un avviso di sospetto che non va da nessuna parte. I criminali informatici e la Russia non subiscono conseguenze reali.
Chi c’è dietro Armagedon
Secondo il servizio di sicurezza ucraino, Armagedon risponde al dipartimento russo dell’FSB in Crimea. Il gruppo comprende ufficiali dell’FSB, che hanno partecipato all’annessione della Crimea nel 2014 ed ex agenti delle forze dell’ordine ucraine, che “hanno tradito il loro giuramento” e si sono uniti alla Russia.
Secondo l’SBU, l’Armagedon è un gruppo di criminali informatici sponsorizzato dallo stato, che presumibilmente riceve sostegno finanziario dal governo russo. Il gruppo è attivo dal 2013. È “estremamente aggressivo” e “si rivolge a utenti di tutto il mondo, dalle banche in Africa alle istituzioni educative negli Stati Uniti”, secondo l’analisi di Cisco Talos, l’organizzazione di intelligence sulle minacce degli Stati Uniti. In Ucraina, il gruppo ha attaccato oltre 1.500 imprese dal 2014. L’SBU ha ottenuto estratti video dagli operatori con sede in Crimea in cui si vantano di aver rubato documenti riservati da una delle imprese statali ucraine o di installare software di spionaggio sul computer di un politico ucraino. Per ottenere l’accesso ai computer dei servizi governativi ucraini o delle imprese statali, i criminali informatici hanno inviato e-mail di phishing, mascherandole come documenti ufficiali, ha afferma il rapporto. Non ha rivelato invece chi è diventato vittima di questi attacchi informatici.
Collegamento con la Russia
Secondo Cisco, Armagedon è stato a lungo associato alle attività filo-russe. La maggior parte degli indirizzi IP dei dispositivi dei criminali coinvolti porta spesso in Russia. Anche il nome del gruppo – Armagedon – usa l’ortografia russa della parola Armageddon, con una ‘d’. Sui nastri, ottenuti dall’SBU, i criminali informatici hanno discusso dei loro stipendi e della mancanza di ricompensa da parte della dirigenza del Servizio di Sicurezza Federale di Crimea. Sebbene gli hacker non siano stati arrestati, l’indagine della SBU potrebbe costringere la Russia a proteggerli. Anche l’Ucraina dovrebbe aspettarsi un attacco in risposta, secondo Andriy Baranovich, addetto stampa della Cyber Alliance ucraina, che lavora sotto il nome di Sean Brian Townsend. “Dovremmo aspettarcelo dall’FSB perché è molto sensibile alle notizie ucraine“, ha scritto su Facebook.
Guerra cibernetica tra Russia e Ucraina
Gli attacchi informatici reciproci tra Ucraina e Russia sono diventati routine negli ultimi anni. I gruppi di hacker sostenuti dalla Russia che attaccano l’Ucraina includono nomi come Fancy Bear, Turla e The Dukes. Sono stati responsabili dei devastanti attacchi informatici contro l’Ucraina, tra cui BlackEnergy, Industroyer e NotPetya. I criminali informatici, compresi quelli che lavorano per Armagedon, di solito trovano punti deboli nei sistemi che eseguono Windows, ma cercano anche di bucare i dispositivi Android e Linux. Le e-mail di phishing sono il tipo di attacco più comune e più semplice. Gli utenti di solito fanno clic sui collegamenti nascosti all’interno di e-mail dannose perché non controllano se l’indirizzo del mittente è affidabile. Secondo l’SBU, gli hacker possono inviare e-mail di phishing da agenzie governative, organizzazioni internazionali e persino parenti stretti per infettare un computer con il malware.
Il conflitto ucraino iniziò con l’invasione della Crimea da parte delle truppe russe. Mentre il conflitto continuava, gli hacker ucraini e russi si sono impegnati in attacchi informatici a bassa intensità, mantenendoli a bassa intensità. Nel dicembre 2015 e nel dicembre 2016, gli attacchi informatici alla rete elettrica ucraina hanno mostrato che le capacità informatiche potrebbero essere utilizzate per intensificare il conflitto.
