Una sofisticata campagna di phishing sta prendendo di mira sindaci, leader comunali e funzionari della sicurezza informatica in tutta la Polonia in quello che le autorità descrivono come un tentativo altamente coordinato di compromettere le reti del governo locale. L’avvertimento, emesso dal CERT Polska, arriva dopo molteplici segnalazioni di funzionari che hanno ricevuto e-mail fraudolente che sembrano provenire direttamente dal Ministero degli Affari Digitali.
Le e-mail utilizzano immagini dall’aspetto autentico, tra cui il logo ufficiale del ministero e una foto del viceministro Paweł Olszewski, per creare l’illusione della legittimità. I messaggi sono scritti in un linguaggio amministrativo formale e incoraggiano i destinatari ad agire rapidamente, aumentando la probabilità che i funzionari si conformino senza verificare la fonte. La campagna ha attirato l’attenzione non solo per la sua precisione, ma anche per il suo deliberato targeting dei dipendenti pubblici che detengono responsabilità di sicurezza informatica o amministrative all’interno degli uffici locali.
Secondo CERT Polska, gli aggressori stanno utilizzando metodi di ingegneria sociale per convincere i destinatari ad aprire un file allegato all’e-mail. Il file viene presentato come un documento governativo di routine relativo a un nuovo processo di verifica o a un aggiornamento della sicurezza per i dipendenti pubblici. Il messaggio indica al destinatario di esaminare e confermare i “dati personali dei dipendenti” o di verificare le informazioni sui membri del personale locale nell’ambito di una presunta iniziativa di conformità.
Quando la vittima apre il file e segue le istruzioni incorporate, l’allegato si connette a un sito Web dannoso o scarica malware sul sistema. Una volta installato, il malware può iniziare a raccogliere dati sensibili, intercettare le comunicazioni e fornire l’accesso remoto all’aggressore. Questo tipo di infezione è particolarmente pericoloso negli ambienti municipali, dove i sistemi interni spesso si collegano a reti più ampie che gestiscono registri, permessi o infrastrutture pubbliche.
Le autorità nazionali polacche per la sicurezza informatica hanno sottolineato che questa campagna è ancora attiva e in evoluzione. Poiché sembra che gli aggressori stiano perfezionando i loro messaggi e aggiornando gli allegati, gli uffici comunali sono stati esortati ad attuare misure difensive immediate. Questi includono l’inasprimento delle regole di filtraggio delle e-mail, il blocco degli allegati provenienti da mittenti sconosciuti e la creazione di passaggi di verifica interna per qualsiasi comunicazione che dichiari di provenire da un ministero nazionale.
L’indagine del CERT Polska suggerisce che la campagna è in corso da diverse settimane e che potrebbe far parte di uno sforzo più ampio per infiltrarsi nei sistemi governativi a più livelli. Concentrandosi su sindaci e altri funzionari, gli aggressori sembrano cercare l’accesso amministrativo o le credenziali che potrebbero consentire loro di spostarsi lateralmente all’interno delle reti. Nel peggiore dei casi, tale accesso potrebbe essere utilizzato per interrompere i servizi, rubare dati sensibili o installare ransomware in più uffici.
La decisione di impersonare il Ministero degli Affari Digitali dimostra una chiara comprensione di come operano le strutture amministrative polacche. Le e-mail che fanno riferimento a un ministero governativo hanno un’autorità intrinseca, in particolare se dirette a funzionari locali che corrispondono regolarmente con le istituzioni nazionali. Ciò rende la tattica molto efficace nell’abbassare la guardia dei destinatari e nell’aggirare i comuni controlli di sicurezza.
Il CERT Polska ha esortato tutti gli uffici locali a verificare l’autenticità delle e-mail prima di agire su di esse. L’agenzia raccomanda inoltre che i dipendenti governativi ricevano una formazione aggiornata sull’identificazione dei tentativi di phishing. Molti dei messaggi fraudolenti condividono tratti comuni, come piccoli errori grammaticali, indirizzi di dominio non corrispondenti o tipi di file insoliti allegati a quelli che dovrebbero essere semplici avvisi governativi.
Sebbene non siano ancora state divulgate violazioni confermate, gli esperti di sicurezza informatica avvertono che anche un piccolo numero di infezioni riuscite potrebbe avere gravi conseguenze. Le reti governative locali spesso memorizzano dati sensibili dei cittadini, inclusi registri fiscali, dettagli di contatto e informazioni di identificazione. Svolgono anche un ruolo in servizi essenziali come l’acqua, la gestione dei rifiuti e il coordinamento della risposta alle emergenze. Un account amministratore compromesso potrebbe fornire agli aggressori un gateway per accedere a questi sistemi critici.
Il governo polacco non ha commentato pubblicamente l’origine della campagna e non è stato identificato alcun attore specifico della minaccia. Tuttavia, gli analisti osservano che le operazioni di phishing di questo tipo spesso fungono da precursori di attacchi informatici più ampi. Nei casi precedenti, gli aggressori hanno utilizzato strategie simili per installare strumenti di accesso remoto che consentono un’infiltrazione più profonda nel tempo.
Mentre la campagna continua, CERT Polska e altre agenzie nazionali stanno collaborando con le autorità locali per distribuire avvisi e condividere informazioni sulle minacce. Agli uffici comunali viene chiesto di segnalare tutte le e-mail sospette, anche se non è stato aperto alcun allegato. La centralizzazione di questi dati aiuterà a identificare i modelli e le potenziali connessioni tra gli attacchi.
Per i funzionari pubblici, l’incidente è un promemoria del fatto che le minacce alla sicurezza informatica prendono sempre più di mira gli individui piuttosto che i sistemi. Il phishing sofisticato si basa meno su exploit tecnici e più sulla manipolazione psicologica, utilizzando l’urgenza e l’autorità per spingere le vittime ad agire. Mascherandosi da comunicazione legittima proveniente da una fonte governativa attendibile, gli aggressori possono aggirare molte misure di sicurezza tecniche che normalmente impedirebbero l’accesso.
L’incidente evidenzia anche la crescente sfida di difendere gli enti governativi più piccoli che potrebbero non disporre di risorse dedicate alla sicurezza informatica. Mentre i ministeri nazionali spesso mantengono operazioni di sicurezza avanzate, molti uffici comunali operano con personale tecnico limitato e sistemi obsoleti. Ciò crea vulnerabilità che gli attori delle minacce possono sfruttare per raggiungere reti più grandi o raccogliere informazioni sui processi governativi.
Gli esperti polacchi di sicurezza informatica sottolineano che anche semplici contromisure possono ridurre significativamente il rischio. Questi includono la verifica degli indirizzi dei mittenti, l’evitare l’apertura di allegati non verificati, l’utilizzo dell’autenticazione a più fattori per gli account amministrativi e il mantenimento di strumenti antivirus aggiornati. Gli uffici comunali sono inoltre incoraggiati a simulare esercizi di phishing per aiutare i dipendenti a riconoscere e segnalare le comunicazioni sospette prima che si verifichino danni.
La campagna di phishing contro i leader municipali polacchi mostra come i criminali informatici continuino a evolvere le loro tattiche per sfruttare la fiducia e la comunicazione di routine. Mentre l’indagine è in corso, l’avvertimento del CERT Polska sottolinea l’importanza della vigilanza a tutti i livelli di governo. Indipendentemente dal fatto che la campagna raggiunga o meno gli obiettivi prefissati, serve a ricordare che anche i sistemi ben progettati dipendono dalla consapevolezza umana per rimanere sicuri.