Spie russe in azione in Usa ed Europa: a chi puntano e quali tecniche usano

Hacker che lavorano per i servizi di intelligence russi si stanno spacciando per ricercatori e accademici in una campagna attualmente in corso per ottenere l’accesso agli account di posta elettronica dei loro colleghi occidentali.

Negli ultimi tre mesi, diversi ricercatori e professori universitari sono stati presi di mira da una serie di email sospette inviate da account che si spacciano per colleghi che richiedono riscontri su articoli accademici vari.

La campagna, che ha interessato individui negli Stati Uniti e in Europa, è l’ultimo esempio di attività informatica russa che serve sia a raccogliere dati sia a fornire al Cremlino materiale che può utilizzare per screditare i suoi critici.

L'attività di phishing si palesa con una-mail che richiede feedback su articoli accademici reali, ma il cui account è falso. L'intelligence britannica ritiene che questi account di phishing siano stati fabbricati ad arte da diversi pirati informatici riuniti in gruppi come Iron Frontier, Calisto, Coldriver o Star Blizzard/Seaborgium, che il governo di Londra ha valutato operanti per i servizi di intelligence russi.

Molti dei bersagli colpiti da questo vero e proprio attacco informatico, forse perché si sono sentiti umiliati, hanno smesso di parlare con i colleghi dopo essere stati informati che l'articolo che avevano esaminato era un'esca progettata per consentire agli hacker di raccogliere le loro credenziali.

Sappiamo che nelle mail-esca è presente un documento (in Pdf) la cui anteprima è sfocata e compare un pulsante "Apri in Google Drive" in primo piano e al centro. Una volta cliccato si viene collegati a un falso dominio Google Drive generato dagli hacker e progettato per assomigliare a una pagina di accesso per l'account della vittima. Tuttavia, qualsiasi password e forma di autenticazione a due fattori inseriti in questa pagina vengono effettivamente catturati dai servizi segreti russi e utilizzati per accedere all’account e-mail di chi è caduto nella trappola.

Risulta interessante far notare che oltre al documento offuscato, ci sono altre pagine che appaiono bianche ma che in realtà hanno un testo scritto in bianco che riporta estratti riorganizzati del “Piccolo principe”, noto libro dell'autore francese Antoine de Saint-Exupéry, probabilmente per evitare i controlli automatici di spam.

Secondo gli esperti statunitensi, ci troveremmo davanti alla tattica dell'”hack and leak”, ovvero della diffusione di mail interne per screditare personaggi di vario livello – in questo caso del mondo accademico – che si sono espressi criticamente nei confronti della Russia. Si tratta, in effetti, di una modalità d'azione a basso costo e alto impatto che ha il vantaggio di causare enormi disagi, spese e danni psicologici alle persone bersagliate. Gli accademici sono poi un bersaglio “facile” in quanto sono soliti scambiarsi opinioni, informazioni e bozze di articoli tra di loro, quindi offrono più possibilità di cadere in tranelli del genere, soprattutto se molto ben congegnati.

Gli indirizzi mail, e le stesse mail false, si sono rivelati convincenti: erano scritte in un inglese perfetto e l'indirizzo era nello stesso formato dell'indirizzo Gmail autentico del ricercatore impersonato, ma proveniente da un account Proton Mail. Presentava anche la stessa immagine del profilo utilizzata sull'account Gmail del ricercatore. L’indirizzo e-mail di un secondo ricercatore impersonato ha sostituito la “L” minuscola con una “i” maiuscola ed è stato nuovamente inviato da un account Proton Mail. Proprio Proton Mail dovrebbe fornire un livello di sicurezza per quanto riguarda i dati personali più alto rispetto ad altri server di posta elettronica, ma evidentemente questo meccanismo è stato abilmente sfruttato dagli hacker.

L'intelligence britannica ha reso noto anche che, in qualche caso, oltre al furto di dati personali, sono stati individuati malware nelle mail, quindi si palesa la possibilità di continuare ad accedere al computer bersaglio da remoto.

Come vi abbiamo già segnalato, questo tipo di attività rientra nella guerra cognitiva che, in tal caso, è utile al fine di screditare un avversario ma soprattutto a fare in modo che esso agisca automaticamente a beneficio degli interessi di un Paese ostile, in questo caso la Russia, ovvero trattasi di un classico esempio della tattica del “controllo riflessivo” che Mosca utilizza da sempre per minare la stabilità dei suoi avversari.