Un nuovo metodo di phishing, sofisticato e credibile, ha permesso a un gruppo hacker legato alla Russia di aggirare l’autenticazione a due fattori e accedere alle email di Keir Giles, esperto del think tank Chatham House. La tecnica, mai documentata prima, si è basata su password specifiche per app e uno scambio email insolitamente credibile
Un gruppo di hacker legato alla Russia ha messo a segno un attacco informatico sofisticato contro Keir Giles, esperto britannico di Russia che collabora con il think Chatham House, uno dei più autorevoli al mondo. Lo hanno fatto usando una tecnica di phishing mai documentata prima, capace di aggirare l’autenticazione a due fattori di Google grazie all’uso di app-specific passwords (ASPs), credenziali temporanee solitamente impiegate per collegare applicazioni esterne agli account email.
L’attacco, rivelato da Google e documentato dal Citizen Lab dell’Università di Toronto, è stato attribuito con alta probabilità a UNC6923, un gruppo sponsorizzato dallo Stato russo e forse legato ad APT29, noto anche come Cozy Bear. L’operazione, iniziata a maggio, ha mostrato un livello di pazienza e cura nei dettagli fuori dal comune. Per due settimane, gli hacker hanno condotto uno scambio credibile con Giles, fingendosi funzionari del dipartimento di Stato americano. L’autore della truffa, che si presentava come Claudie Weber, ha usato un indirizzo Gmail ma ha copiato indirizzi apparentemente appartenenti a colleghi del dipartimento, sfruttando il fatto che i server statunitensi non generano messaggi di errore se si contatta un indirizzo inesistente. Giles, nonostante la sua esperienza e diffidenza abituale, è stato convinto dalla padronanza linguistica, dal tono professionale delle email e da un PDF ben costruito, contenente istruzioni per accedere a una presunta piattaforma governativa chiamata “MS DoS Guest Tenant”.
È stato proprio seguendo queste istruzioni che Giles ha generato e condiviso una app-specific password — credendo si trattasse di un codice per accedere a un’applicazione sicura — che ha invece consegnato agli hacker pieno accesso ai suoi account email. “È come investire in serrature di sicurezza per la porta d’ingresso, ma lasciare la finestra aperta”, ha commentato Giles, che ha autorizzato Citizen Lab a pubblicare i dettagli dell’attacco.
Google ha chiarito che non si tratta di una vulnerabilità del proprio sistema: “Il problema deriva da un tentativo di phishing. Le ASP non sono un’esclusiva di Google e dovrebbero essere trattate come qualsiasi altra password”, ha detto un portavoce.
L’incidente ha sollevato interrogativi sulla sicurezza delle ASP, ancora utilizzabili su account personali nonostante Google le stia progressivamente eliminando dalla suite Workspace. Per John Scott-Railton del Citizen Lab, si tratta di una nuova frontiera del social engineering: “I criminali informatici sanno cosa ci si aspetta da un attacco russo – grammatica sgangherata, link sospetti – e stavolta hanno fatto l’opposto. Una truffa che chiunque avrebbe potuto subire”.
Gli esperti temono che questa tecnica possa diffondersi, complice la crescente efficacia dei filtri di sicurezza e la maggiore consapevolezza degli utenti. Intanto Giles, che ha avvertito pubblicamente i suoi contatti via social, è in attesa delle conseguenze: “Il primo passo è compiuto, ora aspetto di vedere come useranno le informazioni che hanno rubato. Il copione è noto: hackeraggio, manipolazione, pubblicazione con lo scopo di screditare.”
