Subito dopo l’invasione armata dell’Ucraina da parte della Russia erano saliti agli onori delle cronache nazionali gli attacchi cyber a scopo distruttivo scatenati dagli APT russi contro le istituzioni ucraine. Le ricerche della threat intelligence di ESET rivelano che tali azioni erano ancora in corso nel trimestre fra settembre e dicembre 2022. È proprio questo il periodo protagonista dello studio APT Activity Report T3, da cui emergono alcune informazioni interessanti.

Come avevamo già spiegato a suo tempo, le forze cyber all’opera in territorio ucraino sono molte. A ottobre 2022 ESET ha scoperto attacchi del già noto gruppo Sandworm in cui venivano utilizzati i ransomware come wiper. In sostanza, in questi attacchi vengono effettivamente impiegati dei ransomware, ma non per bloccare i sistemi informatici per forzare il pagamento di un riscatto, quanto per distruggere i dati in maniera permanente.

L'ultimo wiper scoperto in ordine di tempo, appartenente a una serie di wiper precedentemente scoperti, è stato battezzato NikoWiper ed è stato utilizzato contro un'azienda ucraina del settore energetico. NikoWiper si basa su SDelete, un'utility a riga di comando di Microsoft utilizzata per l'eliminazione sicura dei file.

Sempre a ottobre 2022 ESET ha intercettato anche l’impiego del ransomware Prestige contro aziende di logistica in Ucraina e Polonia. A novembre, invece, ESET ha scoperto un nuovo ransomware in Ucraina, scritto in .NET e denominato RansomBoggs. Ransomware e malware non sono le uniche minacce cyber in campo. Oltre a Sandworm, altri gruppi APT russi come Callisto e Gamaredon hanno continuato le loro campagne di spear phishing contro l'Ucraina per sottrarre credenziali.

Quello a cui stiamo assistendo è un equilibrio precario e mutevole delle forze in campo che è dettato in buona parte dal conflitto bellico e dagli interessi politici ad esso connessi, ma non solo. Per chiarezza, i ricercatori di ESET hanno individuato, in parallelo alle azioni in Ucraina, una campagna di spear phishing di MirrorFace rivolta a entità politiche in Giappone e hanno notato un graduale cambiamento nel target di alcuni gruppi allineati alla Cina.

Questo è importante per ricordare che gli APT russi non sono gli unici attivi sullo scacchiere globale, e che la Russia non è l’unico Stato a portare avanti le proprie cause politiche/economiche/militari mediante attività cyber.

Gruppi affiliati all'Iran, come per esempio Polonium e MuddyWater, nel periodo in esame hanno proseguito con i loro attacchi contro obiettivi israeliani. I gruppi vicini alla Corea del Nord hanno utilizzato vecchi exploit per compromettere società e scambi di criptovalute in varie parti del mondo. Gli esperti di ESET sottolineano che Konni ha ampliato il repertorio di lingue utilizzate nei suoi documenti esca includendo l'inglese, il che significa che potrebbe non puntare ai suoi soliti obiettivi russi e sudcoreani.

Ci sono poi ferventi attività cinesi: Goblin Panda ha iniziato a replicare l'interesse di Mustang Panda verso gli obiettivi europei, con episodi documentati contro un'organizzazione governativa dell'Unione Europea e un'organizzazione del settore energetico e ingegneristico svizzero.

Un dettaglio che spesso distingue le attività in ucraina da quelle in altre parti del mondo è il ghosting. In Ucraina le azioni cyber sono palesi e drammaticamente devastanti. Non è accertato che siano modulate per coadiuvare l’esercito russo, ma hanno l’obiettivo di causare danni irreparabili. Al contrario, nel resto del mondo le attività APT continuano ad essere per lo più motivate da obiettivi di spionaggio ed esfiltrazione dei dati, quindi sono silenti, difficili da individuare e da bonificare, come evidenziava NTT in una recente intervista.