Le attività criminali informatiche si fanno sempre più spietate e pericolose. Gli hacker del Foreign Intelligence Service russo, definiti Cloaked Ursa (alias APT29, UAC-0029, Midnight Blizzard/Nobelium, Cozy Bear) da Unit 42, il threat intelligence team di Palo Alto Networks, sono molto noti per aver preso di mira le missioni diplomatiche in tutto il mondo.
Le esche più utilizzate dal gruppo hacker Cloaked Ursa
I loro tentativi di accesso iniziali negli ultimi due anni hanno utilizzato prevalentemente esche di phishing legate a operazioni diplomatiche, ad esempio:
- Note verbali (comunicazioni diplomatiche semi formali da governo a governo)
- Aggiornamenti sullo stato operativo delle ambasciate
- Appuntamenti per i diplomatici
- Inviti a eventi dell’ambasciata.
Questa tipologia di attacco è generalmente inviata a persone che gestiscono questa corrispondenza in ambasciata quotidianamente, con lo scopo di invogliare i destinatari ad aprire le email per conto dell’organizzazione per cui lavorano.
Cloaked Ursa prende di mira i diplomatici
Di recente, i ricercatori di Unit 42 hanno osservato casi in cui Cloaked Ursa ha usato esche che si concentravano più sui diplomatici stessi che sui Paesi che rappresentano. Ad esempio, sono state identificate delle attività che hanno colpito le missioni diplomatiche in Ucraina sfruttando un elemento di cui tutti i diplomatici di recente collocazione hanno bisogno: un veicolo.
Cloaked Ursa ha preso di mira almeno 22 delle oltre 80 missioni straniere situate a Kiev. Anche se Unit 42 non ha accesso al tasso di successo delle infezioni, si tratta di un numero davvero sorprendente per un’organizzazione clandestina condotta da una minaccia persistente avanzata (APT) che gli Stati Uniti e il Regno Unito attribuiscono pubblicamente ai servizi segreti russi.
Unit 42 può supporre che siano attività legate a Cloaked Ursa grazie a questi indizi:
- Somiglianze ad altre campagne di Cloaked Ursa
- Uso di TTP legati a Cloaked Ursa
- Sovrapposizione del codice con altre minacce informatiche Cloaked Ursa conosciute.
Questi tentativi di phishing non convenzionali sono progettati per invogliare il destinatario ad aprire un allegato in base alle proprie esigenze e desideri, anziché delle mansioni di routine. Le email stesse sono ampiamente applicabili a tutta la comunità diplomatica e possono essere inviate e inoltrate a un numero maggiore di bersagli, anche ad altre figure all’interno di un’organizzazione e della comunità, aumentando le probabilità di successo di una compromissione.
BMW in vendita
Una delle campagne più recenti di Cloaked Ursa osservata dai ricercatori di Unit 42 sembra utilizzare come punto di partenza la vendita legittima di una vettura BMW per colpire i diplomatici di Kiev, in Ucraina.
A metà aprile 2023, un diplomatico del Ministero degli Affari Esteri polacco ha inviato via email a varie ambasciate un volantino legittimo che pubblicizzava la vendita di una BMW serie 5 usata a Kiev. Il file era nominato BMW 5 in vendita a Kiev – 2023.docx.
La natura del servizio per i diplomatici prevede spesso uno stile di vita basato su incarichi a breve e medio termine presso sedi in tutto il mondo e l’Ucraina presenta ai nuovi assegnati sfide uniche, trovandosi in un’area di conflitto armato.
Come spedire beni personali, procurarsi alloggi e servizi sicuri e organizzare trasporti personali affidabili quando si è in un nuovo Paese? La vendita di un’auto da parte di un diplomatico fidato potrebbe essere una manna dal cielo e Cloaked Ursa l’ha vista subito come un’opportunità.
Cloaked Ursa ha probabilmente raccolto e osservato per la prima volta questo volantino pubblicitario legittimo tramite la compromissione del server di posta di uno dei destinatari dell’email, oppure a seguito di altre operazioni di intelligence.
Come ha operato il gruppo hacker?
Due settimane dopo, il 4 maggio 2023, Cloaked Ursa ha inviato via email la sua versione illegittima del volantino a diverse missioni diplomatiche di Kiev, utilizzando lo stesso nome di quello originale.
La differenza fondamentale con queste versioni illegittime è che se un utente clicca su unlink che propone “foto di maggiore qualità” un servizio per abbreviare gli url lo reindirizzerà su un sito legittimo, che sarebbe stato cooptato da Cloaked Ursa, con conseguente download di un payload dannoso. Quando la vittima tenta di visualizzare una delle “foto di alta qualità” contenute nel download, il malware viene eseguito silenziosamente in background mentre l’immagine selezionata viene visualizzata sullo schermo. Le foto sono in realtà file di collegamento di Windows mascherati da file immagine PNG.
22 diplomazie straniere su 80 nel mirino del gruppo hacker
Unit 42 ha osservato come Cloaked Ursa abbia preso di mira almeno 22 delle oltre 80 diplomazie straniere situate a Kiev con questa campagna.
Il numero effettivo di obiettivi è probabilmente più alto. Si tratta di una portata sconcertante per quelle che in genere sono minacce avanzate persistenti (AP) di portata limitata e operazioni clandestine di minaccia avanzata persistente (APT).
