Il governo degli Stati Uniti lunedì ha ancora una volta messo in guardia da potenziali attacchi informatici da parte degli hacker russi come ritorsione per le sanzioni economiche imposte dall’Occidente al paese a seguito della sua aggressione militare in Ucraina il mese scorso.
“Fa parte del playbook della Russia”, ha detto il presidente degli Stati Uniti Joe Biden in una dichiarazione, citando “l’intelligence ha scoperto che il governo russo sta esplorando le varie opzioni”.
La notizia arriva mentre la Cybersecurity and Infrastructure Security Agency (CISA) e il Federal Bureau of Investigation (FBI) hanno avvertito di “possibili minacce” agli Stati Uniti e alle reti internazionali di comunicazione satellitare (SATCOM) sulla scia di un attacco informatico che ha preso di mira la rete Viasat KA-SAT, utilizzata ampiamente dall’esercito ucraino, più o meno nel periodo in cui le forze armate russe hanno invaso l’Ucraina il 24 febbraio.
“Le intrusioni nelle reti SATCOM potrebbero creare rischi negli ambienti dei clienti dei fornitori di reti SATCOM”, hanno dichiarato le agenzie.
Per rafforzare le difese di sicurezza informatica contro le attività informatiche dannose, il governo sta raccomandando alle organizzazioni di imporre l’uso dell’autenticazione a più fattori, garantire che i sistemi siano aggiornati e patchati contro tutte le vulnerabilità note, crittografare i dati e mantenere i backup offline.
“Pensate alla sicurezza nei vostri prodotti dall’inizio – ‘inseriscila all’interno, non aggiungerla dopo‘ – per proteggere sia la vostra proprietà intellettuale che la privacy dei vostri clienti”, ha osservato il governo degli Stati Uniti, mentre esorta anche le aziende a scrutare la provenienza dei componenti software, open-source o altro, per fare attenzione alle minacce della catena di approvvigionamento.
CERT-UA suona l’allarme contro gli hacker russi
Gli avvertimenti sugli incidenti di spillover seguono una raffica di attacchi informatici che hanno colpito sia l’Ucraina che la Russia nelle ultime settimane (anche se i primi sono rimasti abbastanza nell’ombra). La Russia, dal suo canto, ha esortato le imprese nazionali a disattivare gli aggiornamenti automatici del software e passare ai server DNS russi.
La settimana scorsa, il Computer Emergency Response Team dell’Ucraina (CERT-UA) ha anche notificato nuove campagne di spear-phishing rivolte a enti statali con l’obiettivo di implementare una backdoor chiamata LoadEdge. L’agenzia ha attribuito gli attacchi a InvisiMole, un gruppo di hacker con sospetti legami con il gruppo APT Gamaredon.
Successivamente, il CERT-UA ha avvertito che i sistemi informativi delle imprese ucraine sono stati compromessi da un wiper scritto in C# chiamato DoubleZero che è stato progettato per sovrascrivere tutti i file non di sistema e rendere le macchine inutilizzabili.
Inoltre, la tendenza emergente di utilizzare “protestware” per avvelenare librerie open-source ampiamente utilizzate come un modo per condannare la guerra ha portato a temere che potrebbe rischiare di danneggiare i sistemi critici e minare la fiducia nella sicurezza della catena di approvvigionamento del software e l’ecosistema open-source.
Di conseguenza, la banca statale russa Sberbank ha consigliato agli utenti di declinare temporaneamente gli aggiornamenti software, oltre a chiedere agli “sviluppatori di aumentare il controllo sull’uso del codice sorgente esterno [e] condurre un controllo manuale o automatico, compresa la visualizzazione del codice sorgente“, secondo il servizio di notizie statale TASS.
Conti versione 3 trapela
Non è tutto. L’invasione russa dell’Ucraina si è manifestata anche sotto forma di sforzi hacktivisti in crowdsourcing per partecipare a una varietà di azioni digitali contro la Russia, principalmente appoggiandosi su attacchi DDoS e pubblicando troppe informazioni aziendali sensibili.
Il primo della lista è un anonimo ricercatore di sicurezza ucraino soprannominato @ContiLeaks, che ha fatto trapelare il codice sorgente del ransomware Conti basato in Russia, compresa la più recente “versione 3”, così come quasi 170.000 conversazioni di chat interne tra i membri della banda all’inizio di questo mese, dopo che il gruppo si è schierato con la Russia.
In una notizia correlata, il tribunale distrettuale Tverskoy di Mosca ha messo fuori legge le piattaforme di social media di proprietà di Meta, Facebook e Instagram, per aver partecipato ad “attività estremiste”, vietando alla società di fare affari nel paese con effetto immediato. La sentenza segue una decisione temporanea da parte di Meta che permette agli utenti dell’Europa orientale di pubblicare contenuti che invitano alla violenza contro i soldati russi.