Gli hacker del Foreign Intelligence Service russo, definiti Cloaked Ursa (alias APT29, UAC-0029, Midnight Blizzard/Nobelium, Cozy Bear) da Unit 42, il threat intelligence team di Palo Alto Networks, sono molto noti per aver preso di mira le missioni diplomatiche in tutto il mondo. I loro tentativi di accesso iniziali negli ultimi due anni hanno utilizzato prevalentemente esche di phishing legate a operazioni diplomatiche, ad esempio:
- Note verbali (comunicazioni diplomatiche semi formali da governo a governo)
- Aggiornamenti sullo stato operativo delle ambasciate
- Appuntamenti per i diplomatici
- Inviti a eventi dell’ambasciata.
Questa tipologia di attacco è generalmente inviata a persone che gestiscono questa corrispondenza in ambasciata quotidianamente, con lo scopo di invogliare i destinatari ad aprire le email per conto dell’organizzazione per cui lavorano.
Di recente, i ricercatori di Unit 42 hanno osservato casi in cui Cloaked Ursa ha usato esche che si concentravano più sui diplomatici stessi che sui Paesi che rappresentano. Ad esempio, sono state identificate delle attività che hanno colpito le missioni diplomatiche in Ucraina sfruttando un elemento di cui tutti i diplomatici di recente collocazione hanno bisogno: un veicolo.
Cloaked Ursa ha preso di mira almeno 22 delle oltre 80 missioni straniere situate a Kiev. Anche se Unit 42 non ha accesso al tasso di successo delle infezioni, si tratta di un numero davvero sorprendente per un’organizzazione clandestina condotta da una minaccia persistente avanzata (APT) che gli Stati Uniti e il Regno Unito attribuiscono pubblicamente ai servizi segreti russi.
Unit 42 può supporre che siano attività legate a Cloaked Ursa grazie a questi indizi:
- Somiglianze ad altre campagne di Cloaked Ursa
- Uso di TTP legati a Cloaked Ursa
- Sovrapposizione del codice con altre minacce informatiche Cloaked Ursa conosciute.
Questi tentativi di phishing non convenzionali sono progettati per invogliare il destinatario ad aprire un allegato in base alle proprie esigenze e desideri, anziché delle mansioni di routine. Le email stesse sono ampiamente applicabili a tutta la comunità diplomatica e possono essere inviate e inoltrate a un numero maggiore di bersagli, anche ad altre figure all’interno di un’organizzazione e della comunità, aumentando le probabilità di successo di una compromissione.
BMW in vendita
Una delle campagne più recenti osservata dai ricercatori di Unit 42 sembra utilizzare come punto di partenza la vendita legittima di una vettura BMW per colpire i diplomatici di Kiev, in Ucraina.
A metà aprile 2023, un diplomatico del Ministero degli Affari Esteri polacco ha inviato via email a varie ambasciate un volantino legittimo che pubblicizzava la vendita di una BMW serie 5 usata a Kiev. Il file era nominato BMW 5 in vendita a Kiev – 2023.docx.
La natura del servizio per i diplomatici prevede spesso uno stile di vita basato su incarichi a breve e medio termine presso sedi in tutto il mondo e l’Ucraina presenta ai nuovi assegnati sfide uniche, trovandosi in un’area di conflitto armato.
Come spedire beni personali, procurarsi alloggi e servizi sicuri e organizzare trasporti personali affidabili quando si è in un nuovo Paese? La vendita di un’auto da parte di un diplomatico fidato potrebbe essere una manna dal cielo, , e Cloaked Ursa l’ha vista subito come un’opportunità.
Riteniamo che Cloaked Ursa abbia probabilmente raccolto e osservato per la prima volta questo volantino pubblicitario legittimo tramite la compromissione del server di posta di uno dei destinatari dell’email, oppure a seguito di altre operazioni di intelligence.
Due settimane dopo, il 4 maggio 2023, Cloaked Ursa ha inviato via email la sua versione illegittima del volantino a diverse missioni diplomatiche di Kiev, utilizzando lo stesso nome di quello originale.
La differenza fondamentale con queste versioni illegittime è che Se un utente clicca su un link che propone “foto di maggiore qualità” un servizio per abbreviare gli url lo reindirizzerà su un sito legittimo, che sarebbe stato cooptato da Cloaked Ursa, con conseguente download di un payload dannoso. Quando la vittima tenta di visualizzare una delle “foto di alta qualità” contenute nel download, il malware viene eseguito silenziosamente in background mentre l’immagine selezionata viene visualizzata sullo schermo. Le foto sono in realtà file di collegamento di Windows mascherati da file immagine PNG.
Unit 42 ha osservato come Cloaked Ursa abbia preso di mira almeno 22 delle oltre 80 diplomazie straniere situate a Kiev con questa campagna.
Il numero effettivo di obiettivi è probabilmente più alto. Si tratta di una portata sconcertante per quelle che in genere sono minacce avanzate persistenti (AP) di portata limitata e operazioni clandestine di minaccia avanzata persistente (APT).
