I russi hanno cercato di colpire le difese informatiche dell’Ucraina molto prima dell’invasione militare. Il Threat Analysis Group di Google ha scoperto centinaia di attacchi contro aziende governative e semplici utenti. Nelle ultime due settimane sono state rilevate attività di noti gruppi, tra cui FancyBear e Ghostwriter, che hanno avviato varie campagne di phishing e spionaggio.
FancyBear e Ghostwriter contro l’Ucraina
FancyBear (noto anche come APT28) è un gruppo russo affiliato al GRU (Direttorato principale dell’informazione). I cybercriminali hanno condotto diverse campagne di phishing contro gli utenti ucraini di UkrNet. Le email, inviate da numerosi account compromessi (non Gmail), contengono link a domini controllati dal gruppo. Nelle due campagne più recenti sono stati utilizzati domini Blogspot come landing page iniziali, dalle quali gli utenti venivano reindirizzati verso le pagine di phishing, in cui le ignare vittime inserivano le credenziali di login.
Ghostwriter (noto anche come UNC1151) è invece un gruppo vicino al governo bielorusso. In questo caso i bersagli delle campagne di phishing sono organizzazioni militari e agenzie governative di Ucraina e Polonia. I domini utilizzati sono stati rilevati e bloccati dal servizio Google Safe Browsing.
Il Threat Analysis Group di Google ha scoperto inoltre un attacco informatico eseguito dal gruppo cinese Mustang Panda (noto anche come Temp.Hex) contro aziende europee. Il malware era nascosto in file ZIP allegati alle email.
Numerosi siti del governo ucraino continuano ad essere colpiti da attacchi DDoS. Google offre gratuitamente il servizio Project Shield che permette di assorbire il picco di traffico e di evitare l’interruzione dei servizi.