Una campagna di spearphishing rivolta ai partiti politici tedeschi mette in luce la minaccia per l’Europa e la sicurezza informatica.
Recentemente Mandiant, una divisione di Google Cloud specializzata nella sicurezza informatica, ha rivelato l’esistenza di una campagna di spearphishing orchestrata da un gruppo hacker affiliato al Servizio di Intelligence Estera della Russia (SVR), noto come APT29 o Cozy Bear. Questo collettivo, abitualmente concentrato sull’ottenimento di intelligence politica attraverso l’attacco a governi, ambasciate e missioni diplomatiche, sta ampliando il suo raggio d’azione prendendo di mira anche i partiti politici tedeschi.
Il metodologo adottato dagli aggressori consiste nell’invio di email di spearphishing camuffate da inviti a cene di gala, sfruttando anche il logo dell’Unione Democratica Cristiana (CDU), uno dei principali partiti di centro-destra in Germania. Queste email reindirizzano le vittime verso un sito web compromesso che diffonde un payload malevolo, battezzato ROOTSAW, il quale, a sua volta, apre la strada a un documento ingannevole progettato per iniettare un backdoor attraverso un malware di secondo stadio denominato WINELOADER.
Analizzando il codice, Mandiant ha osservato significative sovrapposizioni con altre famiglie di malware associate allo SVR, evidenziando che WINELOADER potrebbe essere una variant di questi software dannosi, precedentemente utilizzati in attacchi contro organizzazioni diplomatiche in Germania, Italia, Repubblica Ceca, Lettonia, India e Perù.
L’interesse storico di APT29 nel recuperare informazioni sensibili politico-strategiche sugli attori occidentali rende questo genere di operazioni particolarmente insidiose. Gli analisti ritengono che tale attività possa rappresentare una minaccia considerevole non solo per il panorama politico tedesco, ma anche per l’Europa e l’Occidente in senso più esteso, interessando potenzialmente anche i fornitori di tecnologia.
L’esponente del CDU ha dichiarato che il partito è già stato soggetto a attacchi digitali in passato, sia interni che esterni al Paese, e che per questo ultimo attacco ha ricevuto informazioni tempestive, che ha prontamente iniziato a gestire in collaborazione con le autorità competenti, per mantenere i propri sistemi resilienti a minacce e attacchi digitali. Il party ha poi precisato che il presunto evento del 1° marzo era puramente fittizio.
La fama dell’SVR e di Cozy Bear deriva anche dalla loro presunta implicazione nell’attacco del 2020 alla società SolarWinds, che ha portato alla compromissione di ambienti IT di agenzie federali statunitensi e numerose aziende commerciali. L’operazione ha permesso ad attori malevoli di infiltrarsi attraverso un aggiornamento software legittimo, distribuito a circa 18.000 clienti di SolarWinds.
Mandiant sospetta che questa azione contro il CDU sia parte di uno sforzo più ampio dell’intelligence russa volto a raccogliere informazioni sui cambiamenti della politica occidentale, in particolare in merito a temi come la guerra in Ucraina. L’appoggio europeo, che ha visto Germania e altri paesi sostenere finanziariamente Kiev, potrebbe subire oscillazioni nel tempo, e l’obiettivo dell’SVR potrebbe essere quello di scoprire modi per indebolire il supporto europeo all’Ucraina.
Secondo un’avvertenza del National Cyber Security Centre del Regno Unito, Cozy Bear potrebbe persino tentare di sfruttare il proprio accesso per infettare fornitori di servizi cloud e loro clienti, utilizzando tecniche quali password spraying, forzature brute e token di autenticazione cloud per accedere agli account di servizio delle vittime, con il rischio di annidarsi ulteriormente nei sistemi per prosecuzione delle operazioni.