Da quando è iniziata l’invasione russa dell’Ucraina, la Russia ha utilizzato ogni sorta di tattica, compresa la guerra informatica, per far pendere la bilancia a suo favore. Ora, secondo i ricercatori di sicurezza del Computer Emergency Response Team of Ukraine (CERT-UA), gli hacker sponsorizzati dallo stato russo del gruppo APT28 sono prende di mira dipendenti del governo ucraino con malware camuffato da aggiornamenti di Windows per rubare informazioni vitali.
Questi attacchi coinvolgono gli hacker russi che inviano e-mail dannose che contengono istruzioni su come aggiornare Windows come difesa contro gli attacchi informatici. Tuttavia, invece di fornire istruzioni legittime, l’e-mail contiene un comando PowerShell che scarica uno script PowerShell. Questo script simula quindi un falso aggiornamento di Windows durante il download di un secondo payload in background, che è uno strumento che raccoglie e invia dati a un’API del servizio Mocky tramite una richiesta HTTP. Inoltre, per rendere più credibili queste e-mail dannose, gli aggressori hanno anche creato falsi indirizzi e-mail @outlook.com utilizzando i veri nomi degli amministratori di sistema.
Nel tentativo di evitare che i dipendenti cadano vittime di questo attacco, il CERT-UA ha consigliato a tutti gli amministratori di sistema di limitare la possibilità di avviare PowerShell su computer critici e monitorare il traffico di rete per le connessioni all’API del servizio Mocky.
Non è l’unico attacco informatico all’Ucraina
La guerra tra Russia e Ucraina va avanti da oltre un anno , e questa non è la prima volta che il gruppo APT28 sponsorizzato dallo stato è stato collegato ad attacchi informatici contro l’Ucraina. Infatti, il Threat Analysis Group di Google ha recentemente riferito che oltre il 60% del totale degli attacchi informatici e delle email di phishing rivolte all’Ucraina proveniva dalla Russia, con APT28 dietro una parte significativa di essi.
Mentre la guerra continua a prolungarsi e l’Ucraina riesce a mantenere la posizione, la Russia lancerà probabilmente nuove forme di attacchi per indebolire le difese dell’Ucraina. Pertanto, le aziende e gli enti governativi devono formare i propri dipendenti per identificare e segnalare e-mail sospette e mantenere aggiornato tutto il software.