I ricercatori di sicurezza informatica hanno identificato una nuova ondata di attacchi rivolti alle organizzazioni ucraine che sembrano essere collegati al collettivo di hacker sostenuto dalla Russia noto come Sandworm. Secondo i risultati di Symantec e VMware Carbon Black, gli aggressori si sono infiltrati sia in un grande fornitore di servizi aziendali che in un’agenzia governativa locale, mantenendo l’accesso per giorni o addirittura mesi mentre raccoglievano dati sensibili.
I ricercatori hanno rivelato che il primo attacco ha coinvolto una società di servizi aziendali in cui gli attori delle minacce sono rimasti inosservati per più di due mesi. Si ritiene che abbiano ottenuto l’accesso sfruttando le vulnerabilità sui server pubblici e installando web shell per stabilire un accesso persistente. Una volta all’interno, si sono affidati molto agli strumenti amministrativi integrati, un metodo che consente agli aggressori di muoversi attraverso le reti senza lasciare tracce evidenti di malware.
Una delle shell web scoperte, nota come LocalOlive, è stata associata a precedenti operazioni attribuite a Sandworm. Sebbene i ricercatori non abbiano ancora confermato il coinvolgimento diretto del gruppo, la sovrapposizione di tattiche e set di strumenti suggerisce fortemente un collegamento. Sandworm, noto anche come APT44, è ampiamente considerato una delle unità informatiche russe più pericolose ed è stato collegato ad alcune delle operazioni più dirompenti nella storia recente dell’Ucraina.
Nel secondo incidente, gli aggressori hanno compromesso un’agenzia governativa locale per circa una settimana. Sebbene l’intrusione sia stata più breve, le tecniche utilizzate erano quasi identiche, suggerendo che lo stesso attore o un gruppo affiliato fosse responsabile. La campagna si è concentrata sull’esfiltrazione dei file e sulla raccolta di dati di sistema che potrebbero supportare le operazioni successive. Non sono stati trovati segni di crittografia dei dati o malware distruttivi, indicando che lo spionaggio piuttosto che il sabotaggio era il motivo principale.
La tempistica e la precisione di questi attacchi sono notevoli perché arrivano in mezzo alle continue tensioni geopolitiche e all’aumento dell’attività informatica in tutta l’Europa orientale. L’Ucraina rimane una delle nazioni più prese di mira al mondo, con molte delle sue istituzioni pubbliche e private che devono affrontare continui attacchi digitali. Sandworm, che opera sotto l’agenzia di intelligence militare russa GRU, è stata responsabile di diversi importanti attacchi in passato, tra cui interruzioni della rete elettrica, interferenze satellitari e incidenti di cancellazione dei dati su larga scala.
A differenza degli attacchi precedenti, le recenti campagne mostrano un approccio più discreto e paziente. Invece di distribuire malware che interrompe immediatamente le operazioni, gli aggressori hanno utilizzato metodi progettati per rimanere invisibili per lunghi periodi. Questo approccio, noto come vivere della terra, prevede l’utilizzo di strumenti di sistema legittimi per condurre attività dannose. Integrandosi con il normale comportamento amministrativo, gli aggressori possono spostarsi tra i sistemi, aumentare i privilegi ed esfiltrare i dati senza attivare avvisi di sicurezza standard.
Questa evoluzione della strategia evidenzia un cambiamento nelle priorità operative di Sandworm. Mentre le campagne precedenti cercavano di causare danni immediati e visibili, le operazioni attuali suggeriscono di concentrarsi sulla raccolta di informazioni e sull’accesso a lungo termine. Raccogliendo credenziali e documenti interni, gli aggressori possono prepararsi per operazioni future o sfruttare le informazioni per ulteriori scopi strategici.
Gli esperti di sicurezza avvertono che le implicazioni di questi risultati vanno oltre le vittime immediate. L’uso di tecniche furtive e persistenti significa che le organizzazioni potrebbero non rendersi conto di essere state compromesse fino a molto tempo dopo l’inizio dell’intrusione. Poiché gli aggressori sfruttano strumenti già presenti in un sistema, i software antivirus tradizionali spesso non riescono a rilevarli. Per questo motivo, gli analisti raccomandano il monitoraggio costante dell’attività di rete e metodi di rilevamento basati sul comportamento in grado di identificare modelli insoliti.
Le autorità ucraine per la sicurezza informatica non hanno rilasciato una dichiarazione ufficiale sugli incidenti, ma il rapporto sottolinea il rischio continuo sia per le istituzioni pubbliche che per le aziende private che operano nel paese. La scelta degli aggressori di obiettivi, fornitori di servizi aziendali e uffici governativi locali, suggerisce un interesse più ampio nell’ottenere l’accesso a sistemi amministrativi che potrebbero in seguito supportare operazioni coordinate più ampie.
La presenza della web shell LocalOlive e la coerenza delle tattiche utilizzate in entrambi gli attacchi hanno portato i ricercatori a credere che queste intrusioni facciano parte di una campagna continua piuttosto che di eventi isolati. La lunga storia di attività del verme delle sabbie in Ucraina aggiunge peso a questa teoria. Il gruppo è stato collegato agli attacchi alla rete elettrica del 2015 e del 2016 che hanno lasciato centinaia di migliaia di ucraini senza elettricità, nonché all’epidemia di NotPetya del 2017 che ha causato miliardi di dollari di danni globali.
La differenza ora sta nella silenziosità con cui operano gli aggressori. Evitando attacchi di alto profilo che attirano l’attenzione, aumentano le loro possibilità di mantenere l’accesso a reti preziose. Questo approccio furtivo consente loro di osservare, raccogliere e prepararsi per potenziali operazioni future senza ritorsioni o esposizioni immediate.
I ricercatori ritengono che queste campagne possano servire a un duplice scopo. Forniscono informazioni che possono informare la pianificazione militare e strategica della Russia, creando anche una base per possibili attacchi dirompenti in caso di escalation delle condizioni geopolitiche. La combinazione di spionaggio e guerra informatica non è una novità, ma i metodi in evoluzione di Sandworm dimostrano che continua a perfezionare le sue capacità ad ogni operazione.
La difesa da questo tipo di minaccia richiede non solo forti misure tecniche, ma anche una vigilanza e una cooperazione costanti tra le organizzazioni. Gli esperti esortano le istituzioni ucraine e i loro partner a rivedere i controlli di accesso, assicurarsi che il software sia aggiornato e adottare sistemi di rilevamento proattivi in grado di individuare i segni sottili di attività non autorizzate. La capacità di identificare il comportamento anomalo del sistema, piuttosto che le semplici firme di malware note, è ora una delle difese più importanti contro le minacce persistenti avanzate.
Il rapporto conclude che questi incidenti rappresentano un altro capitolo del conflitto informatico in corso che circonda l’Ucraina. Servono anche a ricordare che la guerra informatica non sempre comporta attacchi palesi o interruzioni drammatiche. A volte assume la forma di un’infiltrazione silenziosa e di una lenta raccolta dei dati, progettata per fornire un vantaggio strategico a lungo termine piuttosto che un impatto immediato.
La natura in evoluzione dell’attività di Sandworm dimostra che il gruppo rimane attivo, adattabile e profondamente radicato nel più ampio contesto delle operazioni informatiche sponsorizzate dallo stato. Per l’Ucraina e i suoi alleati, ciò significa che la difesa da attacchi futuri richiederà un miglioramento continuo delle capacità di rilevamento e un’attenzione incessante alla prontezza della sicurezza informatica.