Gli hacker del Center 18, unità dell’Fsb, hanno messo a punto un sistema per bucare i dispositivi di obiettivi nei Paesi della Nato e in Ucraina inviando alle vittime file Pdf compromessi. Ecco i dettagli dell’operazione
Gli hacker russi del Center 18, un’unità del Servizio di sicurezza federale russo (Fsb) da tempo al centro delle attività cyber della Russia, tentano sempre più spesso di installare backdoor sui dispositivi di obiettivi nei Paesi della Nato e in Ucraina. È quanto emerge da una nuova ricerca del Threat Analysis Group di Google. Secondo gli analisti le tattiche degli attaccanti, ribattezzati Coldriver, si sono evolute negli ultimi mesi verso tentativi più sofisticati che prevedono l’uso di file Pdf per indurre le vittime a scaricare le backdoor sui loro dispositivi attraverso i documenti.
Un portavoce di Google ha dichiarato a Recorded Future News che gli obiettivi principali sono persone di alto profilo nelle organizzazioni non governative, ex funzionari dell’intelligence e militari e governi della Nato. Gli hacker di Coldriver in genere avvicinano le vittime fingendo di essere esperti in un campo di studio o membri di organizzazioni affiliate all’obiettivo dell’operazione.
Come in molte altre operazioni di spionaggio sofisticate, cercano di instaurare un rapporto con la vittima nel tentativo di convincerla ad aprire i documenti. Si tratta di editoriali o articoli che l’attaccante dice di voler pubblicare e per i quali chiede un parere alla vittima. E se quest’ultima ha qualche problema con l’apertura del documento crittografato, l’hacker risponde con un link, solitamente ospitato su un sito di archiviazione cloud, per la decrittografia, che in realtà è una backdoor personalizzata che spalanca le porte del dispositivo della vittima all’attaccante.
Il malware Spica è il primo il cui sviluppo e utilizzo è stato attribuito a Coldriver. Consente agli hacker di rubare i cookie da Chrome, Firefox, Opera ed Edge e di caricare, scaricare, enumerare ed esfiltrare documenti. È stato rilevato per la prima volta nel settembre 2023, ma i ricercatori hanno dichiarato di ritenere che il malware sia stato utilizzato dal novembre 2022.