Un’attacco informatico ha rivelato la presenza di Sandworm nelle infrastrutture di Kyivstar per mesi.
L’entità delle minacce informatiche che gravano sulle infrastrutture critiche è ampiamente sottovalutata. Il recente caso della più grande azienda di telecomunicazioni ucraina, Kyivstar, ne è un esempio lampante. Autorità ucraine hanno smascherato la presenza prolungata del gruppo APT (Advanced Persistent Threat) noto come Sandworm, legato alla Russia, all’interno della rete Kyivstar, da almeno maggio 2023.
La gravità di questa infiltrazione trova fondamento nell’estesa operatività di Sandworm, che, sotto il controllo dell’Unità 74455 del Main Center per le Tecnologie Speciali (GTsST) del GRU russo, è attivo sin dagli anni 2000. La sua fama è legata anche al ransomware NotPetya, che nel giugno 2017 ha colpito centinaia di aziende in tutto il mondo. Nel 2022, l’APT russo si è servito di diversi wipers in attacchi mirati all’Ucraina, come AwfulShred, CaddyWiper, HermeticWiper, Industroyer2, IsaacWiper, WhisperGate, Prestige, RansomBoggs e ZeroWipe.
Kyivstar, con circa 26 milioni di utenti mobili e oltre un milione di clienti a banda larga, ha subito un’interruzione totale dei servizi di comunicazione mobile e accesso a internet a seguito di un attacco cyber. Gli attaccanti non si sono limitati a disturbare, ma hanno cancellato “quasi tutto” dentro Kyivstar, distruggendo il nucleo della rete di telecomunicazioni.
Le investigazioni condotte hanno messo in luce come Sandworm abbia tentato di penetrare il sistema sin da marzo, ottenendo un accesso completo approssimativamente a partire da novembre. Questo livello di accesso avrebbe permesso loro di trafugare dati personali, tracciare la posizione dei telefoni, intercettare SMS e potenzialmente impossessarsi di account Telegram.
Nonostante la portata dell’attacco, le autorità ucraine, assistite dal SBU, hanno sottolineato che non vi è stata un’influenza significativa sulle operazioni militari, che non dipendono dagli operatori di telecomunicazioni per aspetti cruciali come la rilevazione di droni o missili.
Questo episodio va interpretato come un monito globale, poiché evidenzia che nessuna entità, indipendentemente dalle sue dimensioni o dal suo settore di operatività, è al riparo da simili attacchi. È essenziale che le organizzazioni sviluppino una conoscenza profonda della cyber security e implementino sistemi di difesa adeguati per proteggersi da simili infiltrazioni.