Aumenta la pericolosità degli attacchi perpetrati dai gruppi di hacker russi ai danni dei paesi considerati ostili dopo l’inizio dell’invasione in Ucraina. Negli scorsi mesi abbiamo spesso parlato del gruppo CozyBear, che col tempo ha utilizzato diversi nomi come ad esempio APT29 e Nobelium e che adesso si identifica col nome di Cloaked Ursa. Le tecniche di questi hacker si stanno man mano evolvendo per cercare di eludere al massimo anche i sistemi di controllo più sofisticati.
Una novità negli attacchi di Cloaked Ursa si può riscontrare nell’utilizzo di sistemi di storage con milioni di utenti come Dropbox e Google Drive, da sempre considerati affidabili. Questa tendenza, rilevata negli ultimi tempi dai tecnici a partire da una nota campagna lanciata all’ambasciata del Portogallo. In una mail lanciata contro quest’ultima si veniva riportati al download di file presenti su Dropbox, nello specifico un html ed un PDF chiamati entrambi Agenda. Tali file poi avrebbero innescato la catena di infezione dei sistemi delle vittime andando a colpire principalmente la rete. Questo attacco culminava con l’avvio di un file ISO che avrebbe terminato la presa in ostaggio del PC infettato.
Questo era un banale esempio, ma queste tecniche sfruttano fondamentalmente la fiducia riposta dagli utenti in queste piattaforme inviando mail di banale phishing ma come sempre in certi ambiti non si può mai dare per scontato nulla. Basta inviare una mail simile a quelle scambiate solitamente a livello lavorativo ed inserire dei link che riportano a Dropbox o a Google Drive per far cadere nella trappola il bersaglio. Per questo è sempre importante effettuare più controlli sull’attendibilità di ciò che si riceve.
A cadere nelle trappole di questo gruppo hacker non sono soltanto delle piccole realtà, poiché sembrerebbe che anche il famosissimo e potentissimo attacco subito da SolarWinds nel 2020 sia riconducibile all’attuale Cloaked Ursa. Tale minaccia è diventata così importante che i governi inglese e statunitense l’hanno collegata in modo diretto ai servizi segreti russi. Le contromisure agli attacchi veicolati utilizzando i sistemi cloud di cui abbiamo parlato sono state implementate con la piena collaborazione di Dropbox e Google, che stanno provvedendo anche adesso a disattivare gli account di tutti coloro che hanno violato i termini di servizio.
Fonte: 1
