Cyber spionaggio, Russia contro aziende di logistica e tecnologia che aiutano l’Ucraina

Cyber spionaggio: la Russia contro aziende che trasportano aiuti in Ucraina

L’avviso di sicurezza informatica (CSA), pubblicato il 21 maggio e intitolato “Russian GRU Targeting Western Logistics Entities and Technology Companies”, denuncia un’attività di spionaggio portata avanti dal GRU, il servizio di intelligence militare russo, con lo scopo principale di raccogliere informazioni sulla tipologia e la tempistica degli aiuti in arrivo in Ucraina.

Stando all’avviso, le operazioni informatiche sono iniziate nel 2022, quando la Russia ha lanciato la sua invasione su vasta scala, e sono portate avanti dall’Unità 26165, formalmente denominata “85th Main Special Service Center” (GTsSS).

Si tratta di un’unità operativa della Direzione Principale dell’intelligence russa che è stata identificata dal Congressional Research Service come responsabile delle capacità cibernetiche di spionaggio tattico russo ed è collegata da indagini governative e società di sicurezza informatica al gruppo di hacker noto come APT28 o Fancy Bear.

Questo gruppo di attori sponsorizzati dallo Stato russo è considerato uno degli strumenti principali del Cremlino per condurre operazioni di spionaggio, influenza e supportare gli sforzi militari e politici di Mosca.

L’attività malevola

L’Unità 26165 era già nota agli analisti di sicurezza per alcune delle più sofisticate campagne di intrusione informatica degli ultimi anni. Il nuovo advisory della NSA, assieme a partner come la Cybersecurity and Infrastructure Security Agency (CISA), il Federal Bureau of Investigation (FBI), e autorità analoghe di altri Paesi Nato, descrive in dettaglio le tecniche, gli strumenti e gli obiettivi principali di quest’ultima azione.

La campagna mirava a violare i sistemi informatici di aziende operanti nei settori della difesa, dei trasporti e della logistica in diversi Paesi occidentali, compresi gli Stati Uniti, e ha preso di mira anche porti, aeroporti ed infrastrutture ferroviarie.

L’attività malevola si caratterizza per l’uso combinato di metodi già noti e tecniche nuove, con l’obiettivo di ottenere accessi non autorizzati a sistemi sensibili e restare presenti in modo furtivo all’interno delle reti compromesse; le finalità sarebbero tanto l’esfiltrazione di informazioni quanto il supporto operativo a missioni sul campo.

Obiettivo: logistica di aiuti e rifornimenti verso l’Ucraina

Uno degli aspetti più significativi di questa operazione riguarda proprio il targeting diretto di aziende ed istituzioni coinvolte nella logistica di aiuti e rifornimenti verso l’Ucraina.

L’intelligence americana segnala che gli hacker del GRU hanno preso di mira non solo società occidentali del settore trasporti, ma anche tecnologie specifiche utilizzate per tracciare, pianificare e coordinare spedizioni internazionali.

Questa scelta di obiettivi evidenzia un interesse russo nel mappare i flussi logistici diretti verso il fronte, ma anche, potenzialmente, nel sabotare, ritardare o deviare tali movimenti.

In particolare, il bollettino indica che alcuni attacchi si sono concentrati sull’infrastruttura IT di organizzazioni impegnate nel fornire supporto all’Ucraina, comprese aziende private attive in ambito aerospaziale, navale e ferroviario.

Nel mirino anche telecamere connesse

Nell’avviso dell’NSA si segnala anche l’uso delle telecamere connesse a Internet, installate in Ucraina e nei Paesi limitrofi, come strumenti di sorveglianza passiva.

Gli hacker dell’Unità 26165 avrebbero compromesso numerosi dispositivi IoT (Internet of Things) di videosorveglianza per monitorare indirettamente i movimenti di mezzi e materiali lungo i confini, sfruttando la presenza di dispositivi scarsamente protetti o non aggiornati.

Si tratta di una tattica già osservata in passato, ma che acquisisce nuove connotazioni nel contesto di un conflitto militare in atto: le telecamere civili, che si utilizzno per scopi di sicurezza urbana o gestione del traffico, vengono riconvertite in strumenti di intelligence militare.

Le TTP del gruppo APT28

A livello tecnico, l’advisory individua una serie di TTPs (Tactics, Techniques and Procedures) impiegate dal gruppo APT28 per penetrare nelle reti target.

Tra le tecniche più frequentemente osservate figurano il password spraying, metodo di forza bruta che tenta l’accesso a molti account con password comuni, e lo spear phishing, ovvero email personalizzate per ingannare specifici destinatari inducendoli a cliccare su link malevoli o scaricare allegati infetti.

Inoltre, gli attori russi si sarebbero dimostrati particolarmente abili nel manipolare i permessi delle caselle di posta Microsoft Exchange, tecnica che consente loro di mantenere accesso invisibile e persistente alle comunicazioni interne di un’organizzazione.

Altre aree di rischio

Un’altra area di rischio riguarda i dispositivi Soho (Small Office/Home Office), che comprendono router, firewall e altri apparati di rete usati in contesti aziendali di piccole dimensioni o da utenti remoti.

Il gruppo GRU, secondo l’avviso, sfrutta vulnerabilità note e spesso non patchate di questi dispositivi per condurre operazioni proxy, cioè per nascondere la reale provenienza del traffico malevolo o per stabilire basi avanzate nelle reti occidentali.

L’utilizzo di tali dispositivi come “ponti” operativi rappresenta una strategia efficace per aggirare le difese più robuste presenti nei data center principali, compromettendo invece i punti deboli ai margini dell’infrastruttura.

La campagna di cyber spionaggio rientra nella guerra ibrida

Il bollettino sottolinea che la campagna di cyberspionaggio è tuttora in corso e con ogni probabilità continuerà nei mesi a venire. Le agenzie coinvolte nell’elaborazione dell’avviso esortano tutte le organizzazioni potenzialmente esposte ad aumentare i livelli di sorveglianza interna, adottare pratiche attive di threat hunting e aggiornare immediatamente tutte le misure di difesa informatica.

Tra le raccomandazioni, vi è l’adozione di strumenti di rilevamento delle anomalie, la revisione regolare dei log di sistema, il monitoraggio delle configurazioni dei dispositivi IoT e una maggiore attenzione alle campagne di phishing mirate.

Il panorama delineato nel CSA è quello di un conflitto ibrido in pieno svolgimento, in cui l’aspetto cibernetico assume un ruolo di primo piano accanto alle operazioni convenzionali.

In particolare, le operazioni di APT28, dimostrano un alto livello di coordinamento con le priorità geopolitiche del governo russo: il cyber spionaggio non è solo un’attività collaterale, ma parte integrante delle strategie di guerra contemporanea, in grado di influenzare direttamente l’andamento delle operazioni militari e la resilienza delle infrastrutture civili.

Aziende coinvolte indirettamente in un conflitto globale

Le aziende private, soprattutto nei settori considerati strategici, si trovano oggi in una posizione vulnerabile, spesso inconsapevoli del loro coinvolgimento indiretto in scenari di conflitto globale.

In questo contesto, la cooperazione internazionale e la condivisione tempestiva di intelligence si confermano strumenti essenziali per contrastare gli attori statali nel cyberspazio.

L’advisory pubblicato dalla Nsa e dai suoi partner rappresenta non solo un avvertimento puntuale, ma anche un esempio virtuoso di risposta collettiva alle minacce informatiche globali.

Se la guerra cibernetica è destinata a diventare una costante nelle relazioni internazionali, allora la sicurezza informatica non potrà più essere considerata una questione esclusivamente tecnica o aziendale, ma un elemento centrale della sicurezza nazionale e della difesa collettiva.