Cloaked Ursa: dagli attacchi su Cloud allo spionaggio

Pochi giorni fa abbiamo trattato la vicenda riguardante il gruppo hacker russo chiamato Cloaked Ursa, ma già noto anche coi nomi Nobelium e CozyBear, che ha veicolato diversi attacchi hacker sfruttando piattaforme di condivisione in Cloud affidabili come Dropbox e Google Drive. Abbiamo anche raccontato di come le loro modalità di attacco sfruttino le più semplici tecniche di phishing capaci però di colpire con maggiore efficacia anche per via della fiducia riposta dagli utenti nei sistemi utilizzati per veicolare i file malevoli.

Le due vittime illustri di Cloaked Ursa, lo ripetiamo, sono state le ambasciate di Brasile e Portogallo, quindi due enti particolarmente importanti anche a livello internazionale per i rispettivi paesi. La motivazione che si cela dietro a questi attacchi è certamente di tipo politico, anche per via della nazionalità degli stessi hacker che a causa della delicata situazione internazionale stanno cercando di indebolire il più possibile tutti i paesi considerati ostili.

L’obiettivo è quello di entrare in possesso di dati segreti, programmi e tutto quello che può tornare utile a livello internazionale per colpire il più possibile le vittime o anticiparne le mosse. Gli hacker inoltre stanno prendendo di mira i servizi in Cloud come i backup poiché mettendovi sopra le mani avrebbero la possibilità di rubare tutto ciò che è contenuto nei sistemi delle vittime come ad esempio accessi a piattaforme, documenti, dati eccetera. Per evitare tali problemi si richiede sempre di alzare il livello di sicurezza di tutti gli accessi utilizzando almeno l’autenticazione a due fattori.

Il rischio che si corre è quello di subire un password cracking, ovvero i tentativi ripetuti di accesso agli account sfruttando principalmente due tecniche: l’attacco brute force e il dictionary attack. Il primo tipo di attacco sfrutta bot o programmi per fare un gran numero di tentativi di accesso con tutte le combinazioni disponibili di password, mentre il secondo utilizza un sistema che sostituisce lettere con numeri in modo automatico e per somiglianza. Per fare un esempio, se venisse inserito il proprio nome come password la lettera “S” con un 5. Tali programmi utilizzano quindi una sorta di intelligenza artificiale in grado di intuire le combinazioni.

Tutto questo poi viene reso ancora più possibile per via della tendenza ancora particolarmente estesa di utilizzare password deboli come il proprio nome, una combinazione di tasti come QWERTY o una sequenza numerica crescente (123456). Utilizzare questo genere di chiavi di sicurezza equivale a rendere assai vulnerabili tutti i propri sistemi aziendali e personali. Questo è ancora più vero per quel che riguarda gli account amministratore, che in molti casi vengono trattati nel modo sopracitato.

 

Fonte: 1