Gli attacchi hacker russi hanno preso di mira gli ex ambasciatori statunitensi, rivelando una precedente penetrazione
Washington —
Il politico dell'opposizione russa Ilya Ponomarev ha dichiarato di non aver trovato alcun motivo di nutrire sospetti quando ha ricevuto quella che sembrava essere un'e-mail dall'ex ambasciatore statunitense in Russia Michael McFaul, un contatto di fiducia con cui comunica periodicamente.
“Questa lettera non era visivamente diversa dalle altre sue lettere. Ho creduto che fosse la sua lettera perché non era visivamente diversa dalle altre sue lettere”, ha detto Ponomarev a ColorNews Russian in un'intervista su Zoom.
Ma questa e-mail di diversi mesi fa si è rivelata essere uno dei numerosi “attacchi di phishing” rivolti a diplomatici statunitensi e ad altri che sono stati identificati come opera di due organizzazioni di cyber-spionaggio collegate al governo russo. E il fatto che imitasse accuratamente i precedenti messaggi di McFaul indicava che gli aggressori avevano già visto quei messaggi precedenti.
“La lettera conteneva un riferimento a un rapporto sull'Ucraina che McFaul avrebbe dovuto consegnare in Cina, e anche una richiesta di verificare se avesse combinato qualcosa”, ha detto Ponomarev. McFaul ha effettivamente tenuto una lezione agli studenti cinesi ad aprile.
Ilya Ponomarev
McFaul ha confermato a ColorNews di essere stato l'obiettivo di un attacco hacker, ma non ha fornito ulteriori dettagli. I dettagli dell'attacco sono stati rivelati in un recente rapporto congiunto del gruppo per i diritti digitali Access Now e dell'organizzazione canadese di ricerca no-profit Citizen Lab.
Il rapporto afferma che gli attacchi sono stati condotti tra ottobre 2022 e agosto 2024 da due “attori della minaccia vicini al regime russo” noti come ColdRiver e ColdWastrel.
Secondo il Washington Post, “molteplici governi” hanno affermato che ColdRiver lavora per il Federal Security Service, o FSB, l’agenzia successore del KGB sovietico, mentre si ritiene che ColdWastrel “lavori per un’altra agenzia russa”.
Tra i loro bersagli c'erano esponenti dell'opposizione russa in esilio, dipendenti di think tank statunitensi, ex ambasciatori statunitensi in Russia, Ucraina e Bielorussia, personalità politiche e accademici, dipendenti di organizzazioni non-profit americane ed europee e organizzazioni mediatiche.
Uno screenshot di un post sull'account X di Michael McFaul.
ColorNews ha parlato con molti dei nominati come vittime, tra cui l'ex ambasciatore statunitense in Ucraina John Herbst, un giornalista russo e un attivista russo per i diritti umani, oltre a Ponomarev e McFaul.
L'obiettivo degli attacchi di phishing è cercare di convincere un utente a cliccare su un link dannoso o a inserire i propri dati (login e password) su un sito web falso. Se l'attacco ha successo, gli hacker ottengono l'accesso alle informazioni riservate della vittima, tra cui corrispondenza, elenchi di contatti e, in alcuni casi, informazioni finanziarie.
Gli hacker che conducono campagne di phishing utilizzano una tecnica chiamata “ingegneria sociale”, che un'azienda americana leader nel settore dei software e dei servizi di sicurezza informatica ha descritto come un utilizzo di “manipolazione psicologica” progettato per indurre gli utenti a divulgare informazioni sensibili.
Herbst, attualmente direttore dell'Eurasia Center dell'Atlantic Council, ha dichiarato alla ColorNews di essere stato vittima di attacchi da parte di hacker russi negli ultimi 10 anni.
Giovanni Autunno
Al Cremlino “non è piaciuto fin dall'inizio quello che stavo facendo perché stavo sottolineando che stavano conducendo un'invasione illegale dell'Ucraina, credo a partire dal 2014”, ha detto.
Herbst ha affermato che gli hacker russi prendono di mira le persone che assumono una posizione pubblica volta a contrastare l'aggressiva politica estera di Mosca: “Quindi, non sorprende che persone come Steve Pifer o Michael McFaul, o me stesso, abbiano ricevuto attenzione dall'FSB, dal GRU [Russian military intelligence] e altri.”
Herbst ha aggiunto: “Non voglio esagerare l'attenzione che ci riservano. Sai, siamo attori piuttosto terziari o anche meno terziari sulla scena politica internazionale, ma loro sanno di avere un apparato di sicurezza così massiccio che danno a un tizio di basso livello il compito di seguire persone come me”.
“Ciò che mi ha accomunato a Mike McFaul o Steve Pifer… è stata una spedizione di pesca, giusto? [To] vedere se potevano convincere uno di loro a dirmi qualcosa in confidenza, il che sarebbe stato imbarazzante.”
Steven Pifer non ha risposto alla richiesta di commento da parte di ColorNews sui dettagli dell'attacco hacker.
Ponomarev ha affermato di aver risposto alla falsa e-mail di McFaul, ma di non aver avuto il tempo di scaricare il file dannoso allegato perché si trovava in aereo quando ha aperto l'e-mail e non era comodo scaricare il file da un telefono.
“Quando l'ho aperto sul mio computer, ho notato che l'indirizzo da cui me l'aveva inviato non era il suo solito indirizzo della Stanford University, era qualcosa di completamente diverso”, ha detto Ponomarev alla ColorNews.
“Essendo un esperto di IT, ho guardato l'indirizzo IP del file nell'e-mail e mi sono convinto che si trattasse di phishing. Dopodiché, ho trasmesso le informazioni alle autorità competenti in modo che potessero indagare ulteriormente sulla questione.”
Ponomarev ha aggiunto che il fatto che l'e-mail apparentemente inviata da McFaul provenisse da una casella di posta del servizio Proton non ha inizialmente suscitato particolari sospetti.
“Ho anche un indirizzo su Proton, per una sorta di corrispondenza riservata”, ha affermato, sottolineando che gli aggressori possono falsificare gli indirizzi su Proton cambiando una lettera, in modo che visivamente assomiglino ancora a un normale indirizzo postale.
“Lo usano perché è completamente anonimo”, ha aggiunto Ponomarev. “Non puoi tracciare un indirizzo IP a Proton, quindi quando usi Proton, è un vicolo cieco, non puoi scavare ulteriormente”.
Polina Machold, editrice di Proekt, un organo di stampa russo indipendente specializzato in giornalismo investigativo, ha dichiarato alla ColorNews che nell'attacco di phishing a lei rivolto, avvenuto lo scorso novembre, gli hacker hanno utilizzato anche l'ingegneria sociale e il servizio di posta Proton.
“Ho ricevuto una lettera da un 'collega' di un altro organo di stampa, con cui avevamo precedentemente realizzato un progetto congiunto, che chiedeva di dare un'occhiata a un nuovo potenziale progetto o qualcosa del genere”, ha detto Machold a ColorNews.
“Abbiamo corrisposto per un po' di tempo e quando è arrivato il momento di aprire il file, ho scoperto che stava succedendo qualcosa di molto sospetto, perché il collegamento nel file presumibilmente portava a Proton Drive, ma il dominio era qualcosa di completamente diverso.”
Machold ha detto di aver chiamato un collega che ha confermato che l'aggressore stava fingendo di essere lui. L'informazione è stata passata al Citizen Lab, che ha stabilito che dietro l'attacco c'erano hacker probabilmente associati all'FSB.
FILE – Una donna usa il suo telefono cellulare davanti all'edificio del Servizio di sicurezza federale (FSB) in Piazza Lubjanka a Mosca, Russia, 24 giugno 2023.
Dmitry Zair-Bek, a capo del First Department, un gruppo russo per i diritti umani, ha affermato che un membro del suo gruppo è stato tra i primi obiettivi di un attacco hacker “perché difendiamo le persone nei casi di tradimento e spionaggio”.
“Uno dei nostri dipendenti ha ricevuto un'e-mail da un indirizzo che imitava l'indirizzo di uno dei nostri partner”, ha affermato. “L'e-mail conteneva un collegamento che portava a un sito di phishing”.
Zair-Bek ha aggiunto che il gruppo ColdWastrel ha condotto l'attacco prendendo di mira il Primo Dipartimento.
“Sono gli studenti 'C' del mondo degli hacker”, ha detto Zair-Bek di ColdWastrel. “L'idea è la stessa del gruppo ColdRiver, solo che hanno prestato meno attenzione ad alcuni piccoli dettagli.
“Il fatto che siano studenti 'C' non significa che siano meno efficaci. Scelgono una persona che dal loro punto di vista, da un lato, ha la più grande quantità di informazioni che li interessano e, dall'altro, è la più vulnerabile.”
Anche una persona esperta in materia di sicurezza digitale può cadere nella trappola degli hacker, afferma Natalia Krapiva, esperta di Access Now, coautrice del rapporto sugli attacchi degli hacker russi.
“I gruppi ColdRiver e ColdWastrel utilizzano un'ingegneria sociale piuttosto sofisticata e una conoscenza molto approfondita del contesto”, ha detto alla ColorNews.
“Sanno come è strutturata l'organizzazione in generale, quali persone sono responsabili di finanza, risorse umane, politica e così via. Cioè, sanno a quale dipendente inviare questo [phishing] e-mail a. Capiscono anche con chi interagiscono queste organizzazioni e su quali questioni.”
“Abbiamo visto esempi di sfruttamento delle relazioni esistenti tra un'organizzazione russa e una americana per i diritti umani”, ha aggiunto Krapiva, notando che gli hacker sapevano che una delle organizzazioni stava aspettando una richiesta di sovvenzione e hanno inviato un file PDF dannoso al dipendente che la stava aspettando.
Ciò suggerisce che gli hacker dispongono già di una certa quantità di informazioni nel momento in cui tentano di attaccare le loro vittime, ha affermato.