Quando si parla di guerra informatica si pensa alla trasposizione digitale dei conflitti fra Stati, come il caso della vicenda ucraina. In realtà il concetto di cyber guerra ha molte sfaccettature, e in questi giorni sta tenendo banco una campagna di spionaggio contro le aziende di energia rinnovabile, probabilmente portata avanti da entità bulgare che hanno interessi nei combustibili fossili.

Secondo il ricercatore di sicurezza William Thomas di Curated Intelligence, una campagna di cyber-spionaggio su larga scala contro i produttori di energie rinnovabili in tutto il mondo sarebbe attiva almeno dal 2019. Le aziende coinvolte sono una quindicina, fra cui Schneider Electric, Honeywell, Huawei e l’italiana Sorema. Le vittime includono inoltre enti e istituti di ricerca quali le università del Wisconsin, della California e dello Utah, la Morris County Municipal Utilities Authority, il Taiwan Forestry Research Institute e il Carbon Disclosure Program.

Per identificare la campagna e le vittime Thomas ha impiegato tecniche OSINT (Open Source INTelligence) e ha concluso che gli attaccanti hanno utilizzato un toolkit personalizzato di phishing che è stato impiegato sia per campagne email sia per inserire pagine di phishing su siti Web legittimi compromessi.

Gli obiettivi della campagna

L'obiettivo della campagna di phishing è rubare le credenziali di accesso dei dipendenti delle aziende di energia rinnovabile, e delle organizzazioni di protezione ambientale. Thomas non è riuscito a raccolgiere le prove sufficienti per identificare con certezza i responsabili. Tuttavia le attività sono riconducibili a due gruppi: APT28 (noto anche come FancyBear) e Konni (un APT della Corea del Nord).

APT28 entra in gioco perché i ricercatori del Google Threat Analysis Group hanno rilevato un’attività di phishing attribuite ad APT28, che utilizza diversi domini analoghi a quelli della campagna esaminata da Thomas.

Konni è invece chiamato in causa dal fatto che i nomi host utilizzati per le credenziali di phishing sono di proprietà di Zetta Hosting Solutions, i cui domini sono stati sfruttati anche da Konni in due distinte campagne analizzate da Proofpoint e Cluster25.

Il potenziale movente

Thomas ha anche rilevato attacchi simili a quelli descritti sopra ai danni di istituti bancari bulgari. Per questo il ricercatore reputa che gli attaccanti siano finanziati da entità che hanno interessi nei combustibili fossili.

Unendo la pista delle energie rinnovabili e quella degli attacchi alle banche, Thomas ipotizza che lo sponsor degli attacchi sia in Bulgaria, dove c’è una corrente di pensiero che reputa le energie rinnovabili come una minaccia. In questa chiave di lettura, gli attacchi alle banche nazionali potrebbero essere interpretati come un tentativo di raccogliere informazioni sui finanziamenti e la costruzione di nuovi impianti di energia rinnovabile.

Che cosa avrebbe a che fare APT28 con la questione bulgara? Fancy Bear è un gruppo APT russo, la Bulgaria è un forte importatore di gas naturale russo, quindi il legame tra la campagna di spionaggio e i principali indiziati ha una base logica, anche se allo stato attuale dei fatti non è dimostrabile.