Per la prima volta in assoluto, l’UE ha imposto delle sanzioni contro cyber attaccanti: sei individui e tre organizzazioni, accusate di aver compiuto gli attacchi WannaCry, NotPetya e Cloud Hopper.
Le sanzioni governative imposte includono il divieto di viaggio e il congelamento dei beni.
Di seguito la dichiarazione di John Hultquist, Senior Director of Analysis, Mandiant Threat Intelligence, FireEye.
“L’Unione Europea ha imposto sanzioni ai danni di più persone e organizzazioni per il loro ruolo in una serie di attacchi e attività di spionaggio informatici. Le sanzioni sono legate agli attacchi NotPetya e al blackout causato in Ucraina dal GRU, nonché a un’attività di spionaggio informatico tentato contro l’OPCW (Organizzazione per la Proibizione delle Armi Chimiche) da parte degli stessi. WannaCry è stato un altro evento distruttivo globale simile a NotPetya basato su ransomware, sebbene sia stato compiuto da agressori nordcoreani. Cloud Hopper è stata una complessa operazione di spionaggio informatico a lungo termine che ha preso di mira i service provider per ottenere così l’accesso a terze parti, queste operazioni sono state effettuate da contractor cinesi che operano per conto del Ministero per la Sicurezza dello Stato.
NotPetya e WannaCry sono stati due dei più devastanti attacchi informatici della storia, che hanno causato miliardi di dollari di danni, distruggendo molti sistemi vitali come quelli appartenenti all’NHS (Servizio Sanitario Nazionale) del Regno Unito. Una delle vittime di NotPetya ha subito danni per 1,3 miliardi di dollari. L’attacco NotPetya è stato condotto dagli aggressori del GRU noti come Sandworm, che in precedenza avevano condotto altri due attacchi alla rete dell’Ucraina. Questi stessi aggressori hanno tentato un attacco alle Olimpiadi di Pyeongchang, anche se nessuna dichiarazione governativa ha accusato il Governo Russo per il ruolo nell’incidente.
La campagna Cloud Hopper è stata una complessa operazione di raccolta di dati, che aveva lo scopo di reperire informazioni piuttosto che interrompere la fruizione dei sistemi. APT10 ha ottenuto l’accesso a diversi Managed Service Provider come ponte per colpirne i relativi clienti – ovvero le organizzazioni che si erano avvalse a tali fornitori per gestire il loro sistemi IT. La Cina e altri continuano a svolgere questa tipologia di attività, spostandosi verso i fornitori di telecomunicazioni e IT, dove possono così compromettere più organizzazioni e più individui contemporaneamente.
Il GRU ha effettuato anche un tentativo di hackerare la rete Wi-Fi dell’OPCW (Organizzazione per la Proibizione delle Armi Chimiche), visitando fisicamente le loro strutture basate all’Aia. L’operazione è stata interrotta ma questa unità è stata coinvolta in operazioni simili in Svizzera, Brasile e Malesia aventi come obiettivo le Olimpiadi. L’utilizzo costante di squadre di persone dell’intelligence ad integrazione degli sforzi per queste compromissioni rende il GRU un avversario particolarmente pericoloso. Le sanzioni possono essere particolarmente efficaci per interrompere questa attività, poiché possono ostacolare la libera circolazione di coloro che lo compongono”.
