Secondo il Centro di coordinamento nazionale per la sicurezza cibernetica di Kyiv, gli account e-mail del ministero degli Esteri sarebbero stati colpiti dal gruppo Cozy Bear, sostenuto dall’intelligence di Mosca. L’obiettivo potrebbero essere le informazioni sull’Azerbaigian
Sarebbe finita anche la diplomazia italiana nel mirino di una campagna di cyber-spionaggio di Cozy Bear, gruppo di hacker legato all’intelligence russa noto anche come Blue Bravo o ATP29 e a cui è stato attribuito il sofisticato attacco contro SolarWinds. È quanto si legge in un rapporto del Centro di coordinamento nazionale per la sicurezza cibernetica dell’Ucraina.
La campagna di APT29 ha preso di mira oltre 200 indirizzi e-mail, ma non è chiaro quanti attacchi siano andati a buon fine. Strumenti e tattiche utilizzati sono simili a quelli messi in campo in alcune attività offensive precedenti, in particolare quella contro alcune ambasciate a Kyiv in aprile. Il gruppo ha sfruttato una vulnerabilità recentemente scoperta nello strumento di archiviazione file WinRAR di Windows: Identificato come CVE-2023-3883, il bug è stato utilizzato da hacker collegati alla Russia e alla Cina all’inizio del 2023 prima di essere risolato (ma senza aggiornamenti si rimane vulnerabili). Per convincere gli obiettivi ad aprire i file infetti, gli hacker hanno creato delle e-mail che sostenevano di avere informazioni sulla vendita di auto Bmw diplomatiche. È la stessa esca utilizzata durante la campagna di aprile. Nell’offensiva più recente hanno sfruttato anche Ngrok, un’applicazione multipiattaforma che può creare un Url di tunneling o inoltro, in modo che le richieste Internet raggiungano il computer locale, per rendere più difficile sia la difesa sia l’attribuzione dell’attacco.
L’operazione di settembre aveva “l’obiettivo primario di infiltrarsi nelle ambasciate”, ha dichiarato il centro citando gli obiettivi: Azerbaigian, Grecia, Romania e Italia, oltreché Otenet, il principale provider internet greco. Secondo i ricercatori, i target più colpiti sono quelli legati ai ministeri degli Esteri di Azerbaigian e Italia. Una delle possibili ragioni è che l’intelligence russa stesse cercando di raccogliere informazioni sulle attività strategiche dell’Azerbaigian, soprattutto in vista dell’invasione azera della regione del Nagorno-Karabakh.
“È da notare che i Paesi presi di mira – Azerbaigian, Grecia, Romania e Italia – mantengono significativi legami politici ed economici con l’Azerbaigian”, si legge. “Inoltre, l’Azerbaigian ha recentemente concluso un accordo per l’acquisto di aerei militari dall’Italia, un affare insolito con una nazione occidentale”, si ricorda nel rapporto.