In atto una campagna di attacchi semplici ma efficaci, che colpiscono bersagli infrastrutturali importanti nelle nazioni UE
La Russia ha lanciato una massiccia campagna di cyber-warfare contro l'Unione Europea, lanciando una serie di attacchi "a forza bruta" contro reti aziendali e istituzionali. Si tratta di attacchi basati su tecniche di per sé semplici, ma che diventano efficaci perché i sistemi-bersaglio sono in gran parte di utenti non sofisticati che adottano forme di identificazione deboli. Nel mirino ci sono soprattutto - spiega Heimdal Security, che ha seguito il fenomeno - account che possono essere usati per una prima penetrazione e per un immediatamente successivo movimento laterale all'interno delle reti.
Gli attacchi a forza bruta usano combinazioni di username e password molto semplici - del classico tipo "admin" e "password" - per violare sistemi che hanno ancora le password di partenza o prima configurazione, come anche i sistemi di utenti con una "attenzione cyber" davvero scarsa. Comunque, i rilevamenti di Heimdal indicano che questo attacco di base ancora è efficace.
Le tre principali tecniche di attacco brute-force utilizzate dagli attori russi sono SMB Crawler, RDP Crawler e RDP Alt Port Crawler. SMBv1 Crawler e RDP Crawler sono collegati rispettivamente al 32,4% e al 27,4% degli attacchi. Entrambi usano metodi quali password guessing (cercare di violare account usando password semplici e comuni), password spraying (usare la stessa password per un gran numero di username), credential stuffing (usare credenziali di accesso ottenute con altre breach) e sfruttamento di credenziali predefinite o deboli.
RDP Alt Port Crawler, utilizzato nell'8,1% degli attacchi, si basa invece su azioni di port scanning/guessing, port scanning/spraying, port scanning/stuffing, e ancora una volta lo sfruttamento di credenziali predefinite o deboli su porte di rete non standard.
L'analisi indica che il 55% degli IP di attacco più utilizzati si trova a Mosca, mentre l'obiettivo degli attacchi è a quanto pare penetrare le infrastrutture critiche in Europa, esfiltrare dati sensibili e diffondere malware. Gli asset presi di mira includono le infrastrutture chiave delle città, come i sistemi di gestione del traffico, i sistemi SCADA e le sedi delle principali aziende tecnologiche.
Gli attacchi si concentrano su luoghi di notevole importanza militare, economica e di difesa informatica, come il Centro di sicurezza informatica dell'UE a Edimburgo e gli hub tecnologici di Dublino. Anche le principali città del Regno Unito, della Danimarca, dell'Ungheria e della Lituania sono spesso prese di mira.
Le tecniche e le tattiche usate negli attacchi sono molto comuni, e questo secondo Heimdal mette in evidenza come in molte organizzazioni europee ci sia ancora la necessità di una solida gestione delle password e di una maggiore security awareness. L'uso prevalente di credential stuffing in vari tipi di crawler evidenzia il rischio significativo rappresentato da qualsiasi data breach, perché le informazioni esfiltrate sono poi usate ormai regolarmente in attacchi successivi.
L'uso esteso di RDP Alt Port Crawler per la scansione di porte non standard suggerisce poi che gli aggressori russi sono molto "scrupolosi" nei loro sforzi di infiltrazione. Le organizzazioni europee devono quindi monitorare e proteggere tutte le porte di rete, non solo quelle comunemente utilizzate, per proteggersi dalle tecniche di scansione. Per questo sono essenziali regolari controlli di rete e sistemi avanzati di rilevamento delle intrusioni.