Il report di Google sugli hacker che lavorano per il governo russo

FYI.

This story is over 5 years old.

Tecnologia

Il report di Google sugli hacker che lavorano per il governo russo

Un documento inedito di 40 pagine che raccoglie tutte le informazioni raccolte sugli hacker più influenti degli ultimi due anni.

Nell'ottobre 2014 un'agenzia di sicurezza americana aveva rivelato che un gruppo di hacker affiliati al governo russo, soprannominato APT28, aveva colpito la Georgia e altri paesi dell'Europa dell'Est in una campagna di spionaggio ad ampio raggio. Due anni e mezzo dopo, APT28 — conosciuto anche come "Fancy Bear" o "Sofacy" — è diventato un nome noto non solo all'industria della cybersecurity ma anche in quella mainstream, grazie al suo attacco al Partito Democratico americano.

Pubblicità

Prima del report di FireEye, APT28 era un segreto ben tenuto nell'industria della cybersecurity. A quel tempo, molte aziende volevano condividere informazioni sul gruppo di hacking. Anche Google aveva investigato, e messo insieme un report tecnico da 40 pagine sul tema rimasto inedito.

Leggi anche: Come gli hacker hanno violato la casella gmail di John Podesta e Colin Powell

Questa sorta di documento, che Motherboard ha ottenuto da fonti indipendenti, può essere uno sguardo d'insieme sulla minaccia dell'industria dell'intelligence, ma il pubblico raramente ha accesso a un documento di Google. Il report arriva da una delle fonti di dati più interessanti quando si tratta di minacce alla cybersecurity: VirusTotal, un repository pubblico di malware che il gigante di internet ha acquistato nel 2012.

Secondo il report, Sofacy e X-Agent, in riferimento al malware usato da APT28, "sono utilizzate da un sofisticato gruppo finanziato da un paese che ha come obiettivo prima le ex repubbliche sovietiche, poi gli stati NATO e infine quelli dell'Europa Occidentale."

"Sembra che gli esperti di Google fossero già a conoscenza di Sofacy prima che se ne parlasse pubblicamente."

Anche se i ricercatori di security non indagano a fondo su chi sia davvero dietro queste operazioni, lasciano intuire che sono d'accordo con la credenza che APT28 lavori per il governo russo in modo intelligente e indiretto — nel titolo del report: "guardando dentro l'acquario."

Pubblicità

Anche se potrebbe sembrare un titolo oscuro, per chi segue le attività di spionaggio russo, è un chiaro riferimento al quartier generale dell'intelligence chiamato GRU o Glavnoye Razvedyvatel'noye Upravleniye, noto ai più come "L'Acquario".

"Sembra che i ricercatori di Google fossero già a conoscenza di Sofacy prima che se ne parlasse pubblicamente," ha detto a Motherboard Matt Suiche, un ricercatore nel campo della sicurezza, fondatore della Comae Technologies e della OPCDE conference, dopo aver letto il report. "Anzi, hanno attribuito Sofacy e X-Agent alla Russia prima che fosse fatto pubblicamente da FireEye, ESET o CrowdStrike."

Nel report gli esperti di sicurezza di Google hanno evidenziato che APT28 attacca la maggior parte degli obiettivi con il malware Sofacy, mentre usa soltanto il più personalizzato e sofisticato X-Agent per gli "obiettivi ad alta priorità", come è successo recentemente contro l'esercito ucraino.

"Sofacy era tre volte più comune rispetto a X-Agent, con più di 600 sample diversi," si legge nel report.

Alla richiesta di un commento, il corrispondente di Google ha risposto via mail che il team di sicurezza dell'azienda sta monitorando costantemente le potenziali minacce agli utenti, e pubblica regolarmente informazioni per proteggerli al meglio."

Secondo il report, la Georgia ha il più alto riscontro di malware Sofacy, seguito da Romania, Russia e Danimarca.

Anche se ora questo documento è un po' vecchio, mostra che per tutte le sofisticazioni APT28 è stato spesso usato per hackerare obiettivi politici, rivelando le origini degli hacker dietro il nickname. Rivela anche quanto una compagnia come Google, che non ha software installati in migliaia di computer come altri antivirus o tool di sicurezza progettati per individuare i malware, può raccogliere molte informazioni sugli hacker governativi con i dati a cui ha accesso.