Il cyberspionaggio si evolve: attacchi sofisticati colpiscono governi e aziende europee sfruttando vulnerabilità nei sistemi di posta elettronica.
Autore: Redazione SecurityOpenLab
In un contesto geopolitico segnato dal conflitto russo-ucraino e dalla crescente tensione internazionale, la protezione delle infrastrutture di comunicazione e la tempestiva applicazione delle patch di sicurezza diventano elementi imprescindibili per la difesa delle informazioni strategiche di Governi e aziende europee. Il problema è noto da tempo e non è di facile soluzione. A tale proposito l’Operazione RoundPress rappresenta un esempio paradigmatico di come i gruppi APT allineati a interessi statali siano in grado di condurre campagne di cyber spionaggio sofisticate, sfruttando vulnerabilità spesso sottovalutate e difficili da individuare.
L’analisi è opera di ESET Research e l’APT in questione è Sednit, noto anche come APT28, Fancy Bear, Forest Blizzard o Sofacy. Parliamo di uno dei gruppi di cyber spionaggio più temuti a livello globale, attivo almeno dal 2004 e ritenuto colluso con il GRU, il servizio di intelligence militare russo. È ritenuto responsabile di attacchi di grande impatto come il furto di dati al DNC prima delle elezioni presidenziali USA del 2016, l’attacco alla rete televisiva francese TV5Monde e la fuga di informazioni dalla WADA.
Sul piano tecnico, il gruppo si distingue per un arsenale molto variegato di armi cyber e per una capacità di adattamento che gli consente di sfruttare vulnerabilità sia note che sconosciute (zero-day) in software diffusi, con l’obiettivo di sottrarre informazioni sensibili da obiettivi di alto valore, prevalentemente legati al settore governativo, militare e della difesa.
Non dimentichiamo, infatti, che l’Operazione RoundPress oggetto di studio da parte di ESET si inserisce in un quadro di guerra ibrida, in cui le attività di spionaggio informatico sono una componente essenziale delle strategie di influenza e destabilizzazione. È ben noto che il conflitto russo-ucraino ha generato una escalation di attacchi cyber da parte di gruppi allineati alla Russia, che hanno preso di mira infrastrutture critiche, enti governativi e aziende strategiche non solo in Ucraina, ma anche in paesi europei e in altre regioni coinvolte nella gestione della crisi.
Secondo l’analisi di ESET, la maggior parte delle vittime di RoundPress nel 2024 sono state entità governative e aziende della difesa dell’Europa orientale, in particolare Ucraina, Bulgaria e Romania, spesso coinvolte nella produzione e fornitura di armi destinate a Kiev. Tuttavia, sono stati colpiti anche governi in Africa, Unione Europea e Sud America, a dimostrazione della portata globale dell’operazione.
L’Operazione RoundPress prende il via dallo sfruttamento di vulnerabilità XSS (Cross-Site Scripting) in popolari piattaforme webmail quali per esempio Roundcube, Horde, MDaemon e Zimbra. La catena di compromissione si articola attraverso una sequenza di passaggi interconnessi. All’inizio l’attaccante invia una email di spear phishing progettata con riferimenti a notizie di attualità o a contenuti estratti da testate giornalistiche affidabili, in modo da aumentare la credibilità percepita del messaggio. All’interno del corpo HTML dell’email viene nascosto il payload malevolo, progettato per sfruttare specifiche vulnerabilità XSS della piattaforma webmail utilizzata dalla vittima.
Quando la vittima apre l’email tramite il client web vulnerabile, il codice JavaScript viene eseguito automaticamente nel contesto della sessione già autenticata, concedendo agli attaccanti l’accesso completo a tutte le informazioni visibili all’utente, incluse credenziali, contatti, messaggi e impostazioni. I dati raccolti vengono successivamente esfiltrati verso server di comando e controllo gestiti da Sednit, mediante richieste HTTP POST cifrate e offuscate per evitare la detection.
Nel corso del 2024 Sednit ha dimostrato una notevole capacità di adattamento: ha sfruttato vulnerabilità note in Roundcube (CVE-2020-35730 e CVE-2023-43770), uno zero-day (CVE-2024-11182) in MDaemon, falle in Horde e Zimbra, spesso con tecniche di injection molto raffinate e difficili da individuare.
Il cuore tecnico dell’operazione è rappresentato da una serie di payload JavaScript denominati SpyPress, specifici per ciascuna piattaforma di webmail presa di mira, fortemente offuscati, con nomi di variabili e funzioni randomizzati e stringhe cifrate, per eludere le analisi forensi e i sistemi di difesa automatizzati.
Le principali funzionalità dei payload comprendono diverse tecniche di compromissione. Tra queste, il furto delle credenziali di accesso ottenuto mediante la creazione di campi nascosti nella pagina o forzando il logout dell’utente per indurlo a digitare nuovamente username e password in una schermata di login fasulla.
Inoltre i payload sono progettati per esfiltrare contatti, cronologia di login, messaggi email e informazioni sulle impostazioni del client di posta. In alcuni casi, vengono create regole Sieve malevole che inoltrano automaticamente una copia di tutte le email in arrivo a un indirizzo controllato dagli attaccanti, per garantire la persistenza dell’accesso anche dopo la rimozione del codice malevolo. Per quanto riguarda la piattaforma MDaemon, il payload è anche in grado di sottrarre il secret per l’autenticazione a due fattori e di generare una password per applicazioni, così da permettere agli attaccanti di accedere alla casella di posta anche se la password principale viene modificata o la 2FA viene aggiornata.
Tutti i payload comunicano con un numero ristretto di server di comando e controllo tramite richieste HTTP POST e inviano i dati raccolti con codifica base64, spesso limitando il volume di traffico per evitare di destare sospetti. Non sono previste tecniche di persistenza locale: il codice viene eseguito ogni volta che la vittima apre l’email infetta, ma le regole Sieve e le app password possono garantire accesso continuativo alle informazioni anche dopo la bonifica del dispositivo.
Appare chiaro che le tecniche di attacco di Sednit sono efficaci nel ridurre drasticamente le possibilità di rilevamento da parte di filtri antispam tradizionali e delle soluzioni di sicurezza endpoint, dato che il vettore di compromissione è nascosto nel codice HTML della email e si attiva solo nel contesto del browser autenticato.
I punti deboli sfruttati sono principalmente legati a criticità organizzative e tecniche, a partire dai ritardi nell’applicazione delle patch da parte delle organizzazioni, in particolare su server di webmail esposti pubblicamente. Altrettanto critica è la mancanza di segmentazione e monitoraggio dei sistemi di posta elettronica, spesso privi di soluzioni avanzate per rilevare attività sospette. Infine, la scarsa consapevolezza degli utenti rispetto ai rischi legati all’apertura di email apparentemente innocue, specialmente in contesti ad alto rischio come enti governativi e aziende della difesa.
Gli esperti suggeriscono pertanto di aggiornare tempestivamente tutte le piattaforme di webmail, dando priorità alle patch di sicurezza per vulnerabilità XSS note o zero-day. È poi mandatoria l’implementazione di sistemi di monitoraggio e rilevamento delle anomalie sui server di posta, inclusa l’analisi del traffico verso domini e IP sospetti. Inoltre, risulta indispensabile una revisione periodica delle regole di inoltro automatico e delle password, contestualmente a un’attività continua di formazione degli utenti con accesso a dati sensibili sui rischi dello spear phishing e sulle best practice. Infine, è caldeggiata la collaborazione con enti di threat intelligence e CERT nazionali per condividere Indicatori di Compromissione e ricevere aggiornamenti tempestivi sulle minacce emergenti.