Gli hacker hanno colpito le agenzie statali ucraine e le infrastrutture critiche con il nuovo malware "Wrecksteel"
L'Ucraina ha registrato almeno tre attacchi informatici a marzo contro agenzie governative e infrastrutture critiche con un nuovo malware spia.
Gli attacchi sono stati effettuati utilizzando un malware precedentemente sconosciuto, denominato Wrecksteel, distribuito tramite e-mail di phishing, secondo un rapporto pubblicato giovedì dal team di risposta alle emergenze informatiche dell'Ucraina (CERT-UA).
Gli hacker hanno utilizzato account compromessi per inviare messaggi contenenti collegamenti a servizi di condivisione di file pubblici come DropMeFiles e Google Drive. Quando aperti, i collegamenti eseguivano uno script di PowerShell, consentendo agli aggressori di estrarre documenti di testo, PDF, immagini e presentazioni, nonché di acquisire schermate di dispositivi infetti.
CERT-UA, che ha denominato il gruppo di hacker UAC-0219, ha affermato che la campagna di cyberspionaggio è attiva almeno dall'autunno del 2024.
In un incidente, gli aggressori hanno inviato e-mail di phishing affermando falsamente che un'agenzia governativa ucraina aveva pianificato di tagliare gli stipendi. L'e-mail conteneva un link dannoso che presumibilmente conduceva a un elenco di dipendenti interessati.
Sebbene CERT-UA non abbia attribuito gli attacchi a un paese specifico, la maggior parte delle campagne di spionaggio basate sul phishing che prendono di mira le istituzioni governative ucraine provengono dalla Russia.
All'inizio di questa settimana, i ricercatori della società di sicurezza informatica Cisco Talos hanno riferito che un gruppo di hacker sostenuto dalla Russia, Gamaredon, ha condotto una campagna di spionaggio utilizzando file dannosi che facevano riferimento a movimenti di truppe in Ucraina. La campagna è stata attribuita ai servizi segreti russi.
L'operatore ferroviario statale ucraino, Ukrzaliznytsia, ha subito un grave attacco informatico la scorsa settimana che ha interrotto i suoi sistemi online. I funzionari informatici ucraini hanno affermato che gli hacker hanno distribuito malware personalizzati specificamente progettati per l'infrastruttura ferroviaria, il che suggerisce che l'operazione ha richiesto risorse e pianificazione significative.
Le autorità hanno definito l'attacco informatico all'operatore, che serve milioni di ucraini, "un atto di terrorismo".
Date le somiglianze tra le tattiche utilizzate nell'operazione contro Ukrzaliznytsia e le precedenti attività informatiche legate alla Russia, l'Ucraina ha ipotizzato che dietro la campagna ci fosse la Russia, ma non ha attribuito l'attacco a un gruppo di hacker specifico.
Nessun commento:
Posta un commento