Microsoft lancia l’allarme: le cyber-operations russe potrebbero coinvolgere i paesi Nato

Servizi segreti russi e gruppi hacker

La guerra ibrida e l’armamentario russo

Come dettaglia il rapporto, l’uso da parte della Russia degli attacchi informatici sembra essere fortemente correlato e talvolta direttamente sincronizzato con le sue operazioni militari cinetiche (quelle che in gergo militare indicano il movimento), che prendono di mira servizi e istituzioni cruciali per i civili, come si vede anche dalla tabella qui sotto.

La guerra informatica prima e dopo l’invasione

Sono note le incursioni di hacker statali russi contro ferrovie e centrali elettriche ucraine nel 2015, 2016 e 2017. In parte motivate dalla rappresaglia contro il governo filo-europeo insediatosi dopo la così detta Rivoluzione Arancione, in parte condotte come “ esercitazione” per testare la capacità di difesa del paese. Gli APT (Advanced Persistent Threats) russi hanno fatto lo stesso con Estonia, Lettonia e Lituania, le ex repubbliche sovietiche del Baltico, attaccandone sia le istituzioni finanziare sia le infrastrutture energetiche, un modo esplicito per minacciarle se avessero stretto più forti legami con l’Europa.

Le raccomandazioni di Microsoft

“Dato che gli attori delle minacce russe hanno rispecchiato e aumentato le azioni militari, riteniamo che gli attacchi informatici continueranno a intensificarsi mentre il conflitto infuria”, si legge nel rapporto. Gli hacker russi potrebbero essere incaricati di attaccare i Paesi che decidono di fornire maggiore assistenza militare all’Ucraina e adottare misure più punitive contro il Cremlino in risposta all’aggressione militare. Una previsione ancora più sinistra se associata alla minaccia del presidente Putin di usare “armi mai viste”, da quando si è scoperto l’interesse russo ad hackerare il fianco est della Nato, i Paesi baltici e la Turchia.

  • Sfruttamento di applicazioni rivolte al pubblico o phishing mirato con allegati/link per l’accesso iniziale al target.
  • Furto di credenziali e utilizzo di account validi durante tutto il ciclo di vita dell’attacco, rendendo le “identità” un vettore chiave di intrusione. Ciò include il dominio Active Directory e tramite VPN o altre soluzioni di accesso remoto.
  • Utilizzo di protocolli, strumenti e metodi di amministrazione validi per il movimento laterale, basandosi su identità compromesse con capacità amministrative.
  • Uso di capacità offensive note pubblicamente disponibili, a volte offuscate utilizzando metodi specifici dell’attore per sconfiggere le firme statiche.
  • “Living off the land” durante il rilevamento del sistema e della rete, spesso utilizzando utilità o comandi nativi fuori standard per gli ambienti.
  • Uso di capacità distruttive che accedono a file system non elaborati per sovrascritture o eliminazioni.

--

--

Teacher, journalist, hacktivist. Privacy advocate, copyright critic, free software fan, cybersecurity curious.

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Arturo Di Corinto

Arturo Di Corinto

1.8K Followers

Teacher, journalist, hacktivist. Privacy advocate, copyright critic, free software fan, cybersecurity curious.