Cosa si cela dietro la campagna di phishing condotta attraverso ProtonMail contro giornalisti, accademici e attivisti politici che si “occupano” di Russia?
Secondo quanto riportato da Bellingcat, nei mesi scorsi il governo Russo avrebbe orchestrato una campagna mirata di phishing contro giornalisti, accademici e attivisti che si occupano di far emergere le ripetute azioni contrarie ai diritti umani e al diritto internazionale condotte dalla “democratica” Federazione Russa. Secondo il portale web britannico, specializzato in giornalismo investigativo e considerato una fonte autorevole dagli esperti ed analisti del settore intelligence che si occupano prevalentemente di Osint, l’azione “state sponsored” perpetrata da hacker filo-russi “ha avuto una portata molto più ampia di quanto si pensasse in precedenza”. In particolare, la rilevanza dell’azione si evincerebbe dalla dozzina di persone (perlopiù giornalisti e rappresentanti di Ong) colpite in tutta Europa e negli Stati Uniti, con il primo attacco risalente al 24 aprile 2019. Secondo gli autori esistono “alcune prove che suggeriscono che la campagna era in lavorazione già dal marzo 2018”.
Ciò che fa propendere per classificare la campagna di phishing come un’azione mirata è la raffinatezza “chirurgica” con la quale sono stati scelti gli account bersaglio: tutti gestiti attraverso il servizio di posta elettronica ProtonMail che poggia su una tecnologia crittografata end-to-end. Inoltre, la “chirurgia” si intravede anche nel gruppo specifico di persone scelte come bersaglio. Infatti, le vittime sono essenzialmente giornalisti, ricercatori, accademici, dipendenti di ONG e attivisti politici che hanno come comune denominatore tra loro il focus russo delle loro ricerche o attività. Bellingcat “ritiene che questa campagna di phishing abbia costituito una fase di una più ampia operazione di hacking in corso contro giornalisti e ricercatori focalizzati sulla Russia, con vari metodi e strumenti – alcuni dei quali senza precedenti – che sono stati schierati contro una serie di obiettivi sia in Russia che all’estero”.
LA RICOSTRUZIONE DELL’ATTACCO
Secondo la ricostruzione effettuata da Bellingcat i messaggi di phishing erano costruiti attorno a falsi avvisi inviati da un’interfaccia identica di ProtonMail la quale avvertiva che l’account e-mail dell’utente fosse stato compromesso o soggetto a tentativi di accesso sospetti. In questo modo l’utente veniva incoraggiato a “proteggere” il proprio account cliccando su un link specifico per cambiare le proprie credenziali. In alcuni casi – spiegano gli analisti di Bellingcat – “nella fase successiva della campagna, i collegamenti ipertestuali di phishing sono stati intervallati da validi collegamenti di richiamo al vero dominio ProtonMail, intesi a rassicurare la vittima che stavano navigando in un account e-mail legittimo”.
LE DICHIARAZIONI DEL CEO DI PROTONMAIL
L’azione di phishing è stata talmente sofisticata (e quindi indicativa di un’azione sponsorizzata da un’entità statale) a tal punto che lo stesso Ceo di ProtonMail Andy Yen ha dichiarato al Financial Times che gli autori dell’azione “Sapevano in anticipo esattamente chi volevano inseguire. La nostra ricerca mostra che questa è stata un’operazione altamente mirata”. Secondo Yen, i domini svizzeri sono stati registrati per imitare l’interfaccia utente di ProtonMail, pagati tramite intermediari utilizzando transazioni bitcoin non rintracciabili. I portali di accesso falsi su quei domini sono stati quindi sincronizzati con il vero processo di accesso a ProtonMail per l’accesso simultaneo, per indurre gli utenti a rinunciare anche ai loro codici di autenticazione a due fattori. Il ceo di ProtonMail chiosa che “siamo difronte al più sofisticato atto di phishing che abbia mai visto”.
ANALISI TECNICA E STRATEGICA DELL’AZIONE DI PHISHING
Da un punto di vista tecnico è utile sottolineare alcuni aspetti rilevanti che, in ultima analisi, possono essere utili per attribuire la responsabilità dell’azione di phishing condotta per motivazioni politiche. In particolare è da notare che, secondo gli autori dello studio condotto da Bellingcat, chi ha condotto la campagna di phishing ha potuto usufruire dei classici strumenti utilizzati per perpetrare attaccchi informatici più sofisticati e dispendiosi rispetto alle “semplici” azioni di phishing, tra le quali: 1) la disponibilità di utilizzare un accesso anonimo basato su Vpn e Tor; 2) l’utilizzo di account e-mail e carte Sim usa e getta; 3) l’utilizzo di pagamenti in bitcoin. Ciò significa che l’intera catena di “phishing” si è appoggiata su mezzi sofisticati utili per perpetrare un attacco su larga scala garantendo l’anonimato ai mandanti e agli esecutori.
Da un punto di vista strategico l’aspetto rilevante da sottolineare è dato dall’analisi del profilo degli obiettivi presi di mira dal phishing, elemento fondamentale che permette di elaborare un elenco attendibile di potenziali attori statali (e non) che hanno avuto un ruolo di “sponsorship” nell’azione. Infatti, un fattore da evidenziare è che gli autori della campagna di phishing, consapevoli delle contromisure tecniche alla base della tecnologia ProtonMail, hanno avviato una campagna di social engineering al fine di prendere di mira obiettivi ben circostanziati. Nel caso specifico infatti, tutti gli obiettivi presi di mira sono stati coinvolti professionalmente in attività ritenute ostili dal governo russo – dalle indagini sulle operazioni segrete del Grualle presunte ingerenze nei processi politici del Regno Unito e degli Stati Uniti. Come sottolineato dal FT “le vittime colpite dall’attacco di phishing sono rimaste sconcertate dal modo in cui gli aggressori hanno acquisito i dettagli dei loro nomi utente e account, dato che molti utilizzano indirizzi anonimi che sono noti solo a una cerchia chiusa di contatti fidati”. Questo ultimo elemento farebbe presumere ad un’azione classica di infiltrazione di un agente sotto copertura oppure di una “talpa” all’interno del gruppo preso di mira.
L’ATTRIBUZIONE DELLE RESPONSABILITÀ
Secondo Bellingcat tutto ciò farebbe “restringe gli indizi e i sospetti sullo Stato russo (l’ipotesi di default) o ad un attacco di false flag da parte di un avversario della Russia che cerca di screditarlo. Una terza ipotesi possibile è che quest’azione è frutto del lavoro di un attore russo para-statale, cioè un imprenditore russo che “investiva” in tale attività per proprio conto al fine di favorire il Cremlino”. Tali congetture si poggiano su una serie di indizi che, secondo gli analisti di Bellingcat, non lascerebbero dubbi sul coinvolgimento diretto dello Stato russo nell’azione di phishing perpetrata ai danni di ricercatori, giornalisti e attivisti che da tempo cercano di far emergere le tendenze anti-democratiche dell’establishment di Putin.
In particolare, sul sito di Bellingcat è possibile leggere come “sia ThreatConnect che ProtonMail ci hanno confermato che le proprie indagini indicano una probabile origine russa dell’attacco di phishing, tuttavia entrambi si sono affidati alle forze dell’ordine indicate come le uniche autorità in grado di accedere a dati tecnici grezzi, come i registri di accesso Ip per l’hosting provider, registri di accesso di provider di posta elettronica di terze parti, ecc. che potrebbero consentire l’attribuzione effettiva”.
Alle accuse mosse da Bellingcat contro il governo russo, fa da eco anche il comunicato ufficiale apparso alla fine di luglio sulla pagina web del sito di ProtonMail dove, tra le altre cose, si legge che: “È noto che Bellingcat è un bersaglio frequente dell’intelligence militare russa a causa delle loro attività precedenti, che hanno incluso il collegamento dell’abbattimento del volo MH17 alle forze russe e l’identificazione degli agenti russi Gru responsabili dell’attacco degli agenti nervosi agli Skripals nel Regno Unito suolo. Le risorse utilizzate in questo attacco di phishing (come registrar di dominio e rivenditori) sono anche risorse che sono state utilizzate in passato in altri attacchi informatici condotti da Fancy Bear (noto anche come Apt28), un gruppo russo di spionaggio informatico che potrebbe essere affiliato con il Gru. Pertanto, sebbene non sia stato provato in modo conclusivo, le prove (insieme a valutazioni indipendenti di terzi) sembrano suggerire un attacco di origine russa”.
