Skip to main content

APT 28, ecco come si muovono gli hacker russi che hanno attaccato Italia e Nato

Dall’ottobre del 2014 al maggio dello scorso anno, il ministero della Difesa e quello degli Esteri italiani sono stati sotto continui attacchi informatici: a rivelarlo sono Fabio Tonacci e Marco Mensurati su Repubblica, i quali raccontano che in mano agli hacker che hanno colpito i sistemi delle due istituzioni italiane potrebbero essere finite informazioni riservate sugli F35 e sulla grande base Nato di Souda Bay, a Creta. Una nota diffusa nel pomeriggio dallo Stato maggiore della Difesa minimizza come da rito, precisando che “nessun dato sensibile è stato compromesso”. Ma, secondo quanto ricostruito da Repubblica, la procura militare di Roma indaga, perché l’attacco è stato compiuto in contemporanea con quelli subiti da altri paesi dell’Alleanza Atlantica (Francia, Belgio e anche Lussemburgo) e dunque si pensa che l’obiettivo più che l’Italia possa essere proprio la Nato.

APT 28

Gli hacker che hanno firmato l’azione, secondo le informazioni a disposizioni dei giornalisti di Repubblica, sarebbero la crew conosciuta con il nome di “APT 28”, un’organizzazione russa molto nota e composta dai migliori hacker del paese, conosciuta con altri nomi come Pawn Storm, Sofacy, Fancy Bear, Sednit, e di cui si sospettano non solo contatti ma proprio dipendenza diretta dal Cremlino.

Ad ottobre del 2014 la società specialistica americana Fire Eye (un riferimento mondiale nel settore della cyber security) ha rilasciato un report dal titolo programmatico: “APT 28, una finestra nelle operazioni di spionaggio informatico della Russia”. Già da questo è evidente che la società americana aveva ottenuto informazioni affidabili sui collegamenti del gruppo di hacker con il governo di Mosca.

L’analisi di Fire Eye si ricollega ad un fatto specifico: nel mese di ottobre di due anni fa, a finire nell’obiettivo di APT 28 è stato niente di meno che il sistema informatico della Casa Bianca.

Non è noto da quante persone sia composta la squadra di hacker, e nemmeno di che genere di fondi disponga, quello su cui però gli analisti concordano è che, da quando è apparsa nel mondo dell’hacking nel 2007, la crew ha fatto notevoli progressi, dimostrandosi in grado di migliorare continuamente i propri prodotti da attacco, in modo da complicare le operazioni di reverse engineering per ricostruirli al fine di bloccarli.

I COLLEGAMENTI CON IL CREMLINO

Sulla base di quanto riportato dallo studio di Fire Eye, più della metà delle impostazioni di linguaggio scovati nei file binari di APT28 sono in russo (caratteri cirillici), ed il 96 per cento dei malware (software creati per produrre danni ad un sistema operativo) catturati è stato costruito in orari da ufficio (da lunedì a venerdì, dalle 8 di mattina alle 6 di pomeriggio) compatibili con il fuso orario di Mosca e San Pietroburgo. Anche Georgia e Azerbaijan sono contenute nello stesso fuso, ma fanno notare gli esperti che competenze come quelle dimostrate sono possibili solo in Russia, per quanto conosciuto.

Bloomberg tempo fa ha scritto che ATP 28 potrebbe addirittura essere una struttura interna (clandestina) dell’FSB, l’agenzia di sicurezza federale russa.

GLI OBIETTIVI

Una scorsa agli obiettivi colpiti aumenta i sospetti sul fatto che in realtà il gruppo sia un’entità parallela coperta del Cremlino (circostanza che chiaramente Mosca smentisce). Per esempio, durante la crisi tra Russia e Georgia del 2008, sono finiti sotto attacco di APT 28 il ministero della Difesa e quello dell’Interno georgiano e altri siti pubblici. Settimane prima dell’invasione e delle bombe sull’Ossetia del Sud, i sistemi informatici di diverse istituzioni della Georgia erano stati presi di mira da cyber attacchi; nel codice del malware era contenuta la scritta “win+love+in+Rusia”. Diversi analisti hanno considerato quella come la prima volta in cui un attacco informatico ha effettivamente fatto da apripista a una successiva guerra convenzionale, ricordava ai tempi il New York Times (anche in quell’occasione Mosca negò ogni genere di coinvolgimento). Sebbene i danni effettivi furono pochi, viste le arretratezze dell’apparato georgiano in termini di digitalizzazione, la vecchia struttura internet del paese fu praticamente paralizzata, rendendo impossibili gli accessi.

Tra i bersagli finì anche una giornalista che scriveva un reportage sul Caucaso e il sito di Kavkaz Center, agenzia di informazione cecena vietata in Russia. Successivamente gli obiettivi si sono allargati, con attacchi che sono andati a colpire il governo polacco e il sistema che coordina la Borsa di Varsavia, quello ungherese e quelli degli stati baltici: un set di cyber attack che ripercorre gli interessi geostrategici russi, ossia la regione ex sovietica. Ma anche realtà occidentali: funzionari della Difesa di stati europei, eventi del settore, siti riconducibili alla Nato, l’Osce. L’Organizzazione per la Sicurezza e la Cooperazione europea, che tra le altre cose ultimamente si è occupata di monitorare il conflitto in Ucraina, si crede che sia finita sotto attacco di APT 28 nei primi giorni di febbraio del 2015 (contemporaneamente all’Italia), quando a Minsk, i leader di Bielorussia, Russia, Germania, Francia e Ucraina, erano in trattative sui punti del cessate il fuoco nel Donbass (la tregua prese poi il nome di “Accordi di Minsk”). Secondo un altro report stilato dalla società romena di antivirus e sicurezza internet BitDefender, che si è occupata soprattuto di monitorare le azioni del gruppo di hacker russi in Ucraina (ma anche in Spagna, Romania, Stati Uniti e Canada), in quei giorni, tra il 10 e il 14 febbraio dello scorso anno, furono eseguite scansioni di circa otto milioni e mezzo di indirizzi IP ucraini per cercare vulnerabilità da poter penetrare.

Si sospetta la partecipazione di APT 28, o di un gruppo simile denominato APT 29, anche all’attacco che nel 2014 ha colpito un altoforno tedesco: un malware denominato Havex sarebbe entrato in uno dei computer che regola le temperature delle macchine di fusione, aumentandole fino al surriscaldamento. Si tratta di un palese esempio di come azioni digitali possano comportare danni fisici agli obiettivi colpiti.

L’INTERESSE PER IL MONDO AEROSPAZIALE

In linea generale gli esperti hanno notato che molti degli obiettivi attaccati nel corso degli anni sono legati al mondo dell’aerospazio. L’interesse delle evoluzioni di sviluppo del segretissimo programma strategico Joint Strike Fighter F35 dimostrato, stando a quello riportato da Repubblica, nell’azione contro l’Italia, potrebbe per esempio legarsi al progetto parallelo russo PAK FA T-50 Fighter. Pare che siano stati sottratti (o si sia tentato di) dati sull’aggiornamento del software di volo fornito dagli Stati Uniti.

I METODI DI AZIONE

APT 28 – secondo gli analisi del settore – non ruba informazioni di interesse economico, furti di progetti e di proprietà intellettuali come spesso visto fare da altre organizzazioni di hacker cinesi, ma sottrae dati di interesse governativo; altro aspetto che la ricollega ad una sponsorizzazione da parte del governo russo. Si tratta di segreti militari, come quelli che sarebbero stati oggetti dell’azione contro l’Italia sugli F35 o i cablo dalla base di Souda Bay di cui ha parlato sempre Repubblica (la base cretese è una delle più importanti del Mediterraneo, un occhio davanti a Tartus, punto di scalo russo in Siria, e anche un osservatorio per l’intero Medio Oriente).

Diverse le tecniche utilizzate dal gruppo, ritenute dagli esperti molto sofisticate: anche questo è un altro indizio del collegamento con fonti governative, che garantirebbero sostegno in tecnologie e fondi agli hacker. In particolare un rapporto confidenziale lungo 41 pagine preparato da Google, e di cui Bloomberg News era entrato in possesso, parlava di un malware definito “X-Agent”, descritto come una versione estremamente sofisticata di uno strumento di accesso remoto, o RAT, che utilizza la crittografia e altre tecniche, ritenute alla pari con i software di hacking statunitensi.

Molto spesso i bersagli sono funzionari di istituzioni pubbliche, precedentemente osservati e tracciati, a cui vengono inviate evolute mail di phishing attraverso le quali ATP 28 ottiene l’ingresso nei sistemi protetti. Questo, secondo Repubblica, è stato anche il metodo utilizzato come chiave per entrare nel sistema della Difesa italiana.


×

Iscriviti alla newsletter