Il Dipartimento di Giustizia degli Stati Uniti abbatte la rete di malware gestita da attori russi

Il Dipartimento di Giustizia degli Stati Uniti (DOJ) ha dichiarato martedì di aver disattivato una rete mondiale di computer infettati da malware, che i servizi di sicurezza dello stato russo avrebbero utilizzato per quasi due decenni per estrarre informazioni riservate dagli Stati Uniti e dagli alleati della NATO.

L'iniziativa, nome in codice "MEDUSA", mirava a eliminare il malware "Snake" utilizzato da un'unità all'interno dell'FSB russo denominata "Turla", che gli esperti informatici considerano uno dei gruppi di spionaggio informatico più avanzati al mondo. L'FBI ha creato uno strumento chiamato "PERSEUS", che neutralizza il malware Snake senza intaccare il computer host o le applicazioni legittime, dopo aver ottenuto il permesso da un giudice di Brooklyn di concedere l'accesso ai computer contaminati. Il malware Snake ha preso di mira paesi membri della NATO, istituzioni finanziarie, giornalisti e altri obiettivi del governo russo, a partire dal 2004.

L'FBI ha informato tutte le vittime ai cui computer è stato effettuato l'accesso durante l'operazione MEDUSA e gli Stati Uniti e i partner di Five Eyes hanno emesso un avviso congiunto sulla sicurezza informatica che include informazioni tecniche dettagliate sul malware in modo che gli esperti di sicurezza informatica possano rilevare se altre reti sono state potenzialmente infette. Dopo aver ottenuto l'accesso alle reti, il gruppo Turla è noto per utilizzare uno strumento "keylogger" che ruba le password degli account e altre credenziali di autenticazione, rappresentando una minaccia continua per alcuni degli individui presi di mira.

Cosa sono gli attori delle minacce sponsorizzate dallo stato e in che modo vengono spesso sfruttati nel cyber-spionaggio internazionale?

Gli attori delle minacce sponsorizzati dallo stato sono criminali informatici che ricevono supporto dai governi nazionali per condurre attacchi informatici, spionaggio informatico o altre attività dannose contro nazioni, organizzazioni o individui stranieri. Questi attori sono spesso altamente qualificati e ben finanziati e operano con l'obiettivo di promuovere gli interessi strategici ed economici dei rispettivi paesi.

Gli attori delle minacce sponsorizzati dallo stato in genere prendono di mira un'ampia gamma di obiettivi, tra cui agenzie governative, istituzioni militari, infrastrutture critiche, istituzioni finanziarie, università e società private. Possono utilizzare una varietà di tattiche, come spear-phishing, malware, ingegneria sociale e exploit zero-day per ottenere l'accesso non autorizzato a sistemi mirati o rubare dati sensibili.

Queste campagne di spionaggio informatico spesso iniziano con la ricognizione per identificare i sistemi vulnerabili e le informazioni di interesse. Una volta ottenuto l'accesso, gli attori delle minacce si sposteranno lateralmente in tutta la rete per aumentare i propri privilegi e raccogliere dati sensibili. In alcuni casi, possono implementare backdoor, malware o altri strumenti per mantenere l'accesso a lungo termine ai sistemi compromessi e continuare le loro operazioni senza essere rilevati.

Gli attori delle minacce sponsorizzati dallo stato sono spesso sfruttati nelle campagne internazionali di spionaggio informatico per ottenere un vantaggio strategico su altre nazioni o per rubare proprietà intellettuale di valore. Gli attacchi possono essere utilizzati per promuovere obiettivi politici, militari, economici o diplomatici e i dati rubati possono essere utilizzati per informare le politiche nazionali, informare le decisioni aziendali o venduti a scopo di lucro sul dark web. Il potenziale impatto delle campagne di spionaggio informatico sponsorizzate dallo stato può essere grave, compresa la perdita di infrastrutture critiche, danni alla sicurezza nazionale e perdite finanziarie significative per individui e organizzazioni.