Attaccare telefoni VoIP, stampanti, decoder video e altri dispositivi riconducibili alla cosiddetta Internet of Things per poi penetrare all’interno dei network delle aziende colpite. Questo il modus operandi descritto dal Threat Intelligence Center di Microsoft e attribuito al gruppo Strontium, noto anche come APT28, Tsar Team o Fancy Bear, sostenuto dal governo di Mosca.
Strontium: la Russia e l’attacco alla IoT
L’azione, la cui origine è stata localizzata in Russia, è avvenuta nel mese di aprile. I dispositivi citati poc’anzi sono stati utilizzati come punto d’accesso alle reti, così da poter effettuare la scansione alla ricerca di altri sistemi vulnerabili. Avendo attuato contromisure efficaci non appena sono stati individuati gli attacchi, non è dato a sapere quale fosse la loro finalità: probabilmente il tentativo di entrare in possesso di informazioni e dati gestiti all’interno dei network.
L’indagine ha scoperto che un soggetto ha utilizzato questi dispositivi per ottenere l’accesso ai network delle aziende. In due dei casi analizzati le password dei dispositivi sono state violate poiché non modificate rispetto a quelle impostate di default dal produttore, mentre in un’altra situazione non sono stati installati i più recenti aggiornamenti di sicurezza.
Il nome Strontium non suona di certo nuovo a chi segue le vicende legate alla cybersecurity. Viene identificato dagli addetti ai lavori anche come Unità 26165 o 74455 del GPU (Glavnoe Razvedyvatel’noe Upravlenie), servizio informazioni delle forze armate russe. È indicato come responsabile (tra le altre cose) delle azioni perpetrate nei confronti di Hillary Clinton durante la campagna per le Presidenziali USA 2016 e della sottrazione delle cartelle cliniche gestite dalla World Anti-Doping Agency in seguito alle Olimpiadi di Rio andate in scena nell’estate dello stesso anno.
Attacco DDoS alla finale di Champions
I ricercatori ritengono inoltre che il gruppo abbia tentato di sfruttare i dispositivi violati per la creazione di una botnet da impiegare ai fini di un attacco DDoS da attuare il 26 maggio dello scorso anno, nella sera della finale di Champions League disputata nella capitale ucraina di Kiev. Strontium non è in ogni caso l’unico gruppo del suo genere sostenuto da realtà governative ad aver messo nel mirino le apparecchiature IoT: ci sono anche LuckyMouse, Inception Framework e Slingshot.
Maggiori informazioni in merito all’attacco registrato in aprile saranno resi noti nel corso della conferenza Black Hat USA 2019 in scena a Las Vegas, la stessa in cui Microsoft ha presentato l’iniziativa Azure Security Lab finalizzata a migliorare la solidità dell’infrastruttura cloud Azure.