Tattiche al limite: hacker russi scatenano malware stealth sull’Ucraina in un blitz di spionaggio

Tutto è iniziato con un’email, apparentemente innocua, che offriva un modo per attraversare un posto di controllo al confine ucraino - un’esca allettante in un Paese in guerra. Ma dietro il linguaggio burocratico e i documenti dall’aria ufficiale si celava un’agenda nascosta: una nuova razza di malware, progettata per lo spionaggio, che si infiltrava silenziosamente nei sistemi ucraini. È l’ultimo capitolo del conflitto informatico che infuria accanto alle battaglie sul terreno, dove l’inganno digitale è potente quanto la potenza di fuoco.

I ricercatori di cybersicurezza di ClearSky hanno scoperto una campagna di spionaggio che sfrutta due malware finora sconosciuti - BadPaw e MeowMeow - prendendo di mira entità ucraine. L’attacco parte con una classica mossa di phishing: un’email, redatta in ucraino, contenente un link a un archivio ZIP. Il documento allegato, che si spaccia per un permesso per attraversare i posti di controllo di frontiera, è un’esca dal significato geopolitico, calibrata sulla crisi attuale dell’Ucraina.

Una volta aperto l’archivio, si dispiega il vero attacco. BadPaw, il loader iniziale, scarica e installa in silenzio MeowMeow, una sofisticata backdoor. Questo malware può passare al setaccio le macchine infette, cercando file specifici e manipolando i dati a piacimento - leggendo, scrivendo o cancellando informazioni critiche. La perizia tecnica della campagna non finisce qui. MeowMeow è programmato per individuare macchine virtuali e strumenti di analisi della cybersicurezza, autodistruggendosi se rileva un ambiente di ricerca, complicando così gli sforzi per studiarne e bloccarne le operazioni.

Le email sono state inviate da indirizzi su ukr.net, un legittimo provider di posta elettronica ucraino già sfruttato in campagne di raccolta credenziali collegate alla Russia. L’analisi di ClearSky attribuisce l’operazione con alta confidenza a un attore allineato allo Stato russo e suggerisce, sebbene con minore certezza, il coinvolgimento di APT28 - noto anche come Fancy Bear, BlueDelta o Forest Blizzard. Si ritiene ampiamente che questo gruppo operi sotto l’intelligence militare russa e vanti una lunga storia di cyber-spionaggio contro agenzie governative, appaltatori della difesa e aziende di logistica.

Sebbene l’identità dei bersagli specifici e il successo della campagna restino non divulgati, la sofisticazione dell’attacco segnala una continua escalation delle ostilità informatiche. Questa operazione arriva proprio mentre il CERT-UA ucraino ha segnalato una campagna separata che utilizza malware diverso, sottolineando il ritmo incessante della guerra digitale che le istituzioni ucraine si trovano ad affrontare.

L’ultima ondata di malware è un monito netto: nel mondo oscuro del cyber-spionaggio, i confini sono porosi e il campo di battaglia è ovunque. Mentre l’Ucraina si prepara a ulteriori attacchi - digitali e fisici - la necessità di vigilanza non è mai stata così urgente. Per ogni email malevola che riesce a passare, il costo potrebbe essere ben più dei dati: potrebbe essere la sicurezza di una nazione.

WIKICROOK

• Phishing: Il phishing è un crimine informatico in cui gli aggressori inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.
• Backdoor: Una backdoor è un modo nascosto per accedere a un computer o a un server, aggirando i normali controlli di sicurezza, spesso usato dagli aggressori per ottenere un controllo segreto.
• APT28 (Fancy Bear): APT28 (Fancy Bear) è un gruppo di hacker collegato al GRU russo, noto per il cyber-spionaggio e per attacchi di disturbo contro governi e organizzazioni in tutto il mondo.
• Macchina virtuale: Una macchina virtuale è un computer basato su software che gira all’interno di un altro computer, fornendo ambienti isolati per diversi sistemi operativi e attività.
• Loader di malware: Un loader di malware è un programma che installa di nascosto altro software malevolo, spesso più pericoloso, su un dispositivo o una rete.