Il servizio di controspionaggio militare polacco e il suo Computer Emergency Response Team (CERT) hanno pubblicato i risultati di un’analisi riguardante una serie di attacchi informatici diffusi nei confronti dei paesi NATO e dell’Unione Europea, rivelando che dietro di essi ci sarebbero gli hacker russi del gruppo APT20, noto altrimenti come Cozy Bear o Nobelium. L’obiettivo? Raccogliere informazioni da entità diplomatiche e ministeri degli esteri.
Hacker russi contro l’Europa
La campagna, come ripreso da Bleeping Computer a partire dal report originale, sarebbe ancora in corso e starebbe prendendo di mira il personale diplomatico utilizzando e-mail di spear phishing, nei quali i malintenzionati del caso impersonano le ambasciate dei paesi europei al fine di ingannare i singoli individui e farli cliccare su link dannosi o allegati contenenti malware.
Scendendo nel dettaglio, la divisione di hacking del Russian Foreign Intelligence Service (SVR) starebbe conducendo questi tentativi di violazione dei sistemi occidentali infettando le ignare vittime tramite pagine HTML infette, o anche file ISO e ZIP, contenenti downloader come SNOWYAMBER e QUARTERRIG.
Una volta avviati sul sistema bersaglio, gli aggressori possono valutare l’importanza dell’obiettivo e determinare se hanno compromesso honeypot, macchine virtuali o sistemi autentici. Se la workstation infetta ha superato la verifica manuale, allora i downloader procedono con l’esecuzione dei payload non appena scaricati.
Nel comunicato, dunque, le autorità polacche hanno lanciato un avvertimento:
“Il servizio di controspionaggio militare e il CERT.PL raccomandano a tutti gli enti che potrebbero trovarsi nell’area di interesse dell’attore di implementare meccanismi volti a migliorare la sicurezza dei sistemi di sicurezza informatica in uso e aumentare il rilevamento degli attacchi.”