Zoombombing e Disinformazione Russa

Chiunque abbia mai promosso un webinar sa benissimo come un evento online dia molto da pensare, anche quando la tecnologia collabora: gestire il pubblico e condurre la propria miglior presentazione richiedono ottime abilità anche nelle migliori delle circostanze. Ma le cose potrebbero prendere una pessima piega se, oltre a lasciar parlare in buona fede i partecipanti, ci si deve anche proteggere da troll e interruzioni non programmate e deleterie.

I problemi si aggravano quando questi disturbatori provengono da un qualcuno che ha un interesse geopolitico nel condurre attacchi informatici.

Questo è stato precisamente lo scenario affrontato durante un panel ospitato in loco presso l’Università del Nebraska-Lincoln e trasmesso online tramite Zoom. Il panel in questione ha subito pesanti interruzioni, anche se probabilmente la colpa dell’accaduto non è stata di alcun host reale (o di qualcuno fisicamente presente presso il campus universitario).

Cos’è successo?

Il 1° marzo 2022, gli studenti e corpo docente dell’Università del Nebraska-Lincoln (UNL) avevano indetto un panel per soffermarsi sugli eventi bellici in corso in Ucraina e su come gli studenti avrebbero potuto aiutare il popolo Ucraino. Probabilmente al fine di coinvolgere un più ampio pubblico, il panel è stato trasmesso anche su Zoom.

Tuttavia, poco dopo l’inizio, la trasmissione è stata interrotta da degli sconosciuti che hanno urlato in russo contro i presentatori e hanno spammato la presentazione con contenuti espliciti.

Il panel è stato velocemente in grado di riprendere il controllo della situazione e allontanare i disturbatori. I relatori dell’evento hanno sottolineato la forza e l’unità di fronte quell’attacco. Ovviamente, le agenzie di stampa hanno posto l’accento su come interruzioni come queste rappresentino un faccia a faccia ravvicinato con le campagne di disinformazione della Russia.

Per quale motivo si è avuta tale interruzione?

Nel contesto dell’evento stesso, si tratta di una breve interruzione che potrebbe essere liquidata come un non-problema. È stato un evento decisamente piccolo e a dimensione locale, a cui fra l’altro si è posto rimedio immediato. Ci si potrebbe benissimo chiedere: in che modo questa interruzione rappresenta un problema più grande?

Anche se possiamo fare un applauso agli organizzatori dell’evento all’UNL per aver gestito nel migliore dei modi l’interruzione, l’intrusione dei troll fa emergere una forte preoccupazione. In genere i troll di questo tipo non si preoccupano di essere espulsi rapidamente da una sessione; al momento, il loro obiettivo non è necessariamente quello di convincere il mondo della loro disinformazione, bensì di crearsi un loro storia in Russia. A tal scopo, il solo atto di irrompere in un dibattito sull’Ucraina è abbastanza: non ha importanza quanto breve sia l’interruzione, dato che rappresenta comunque un impegno per la loro propaganda.

Come nell’esempio dell’UNL, è possibile gestire presunti troll allineati con la Russia che fanno irruzione nelle videoconferenze con abilità e resilienza. Gestire l’interruzione, tuttavia, non ostacola gli sforzi effettivi di questi troll e non argina il problema: dato che hanno raggiunto qualcosa semplicemente con l’irrompere in uno di questi panel online, è lecito presumere che continueranno a far la loro comparsa improvvisa in altri eventi, sempre con gli stessi obiettivi.

Tutto ciò sta a sottolineare il fatto che quando si tratta di cyber sicurezza, aspettarsi che gli utenti finali risolvano i problemi da soli è poco più di una misura tampone. Per dar luogo a una sicurezza che sia duratura, sia nelle videoconferenze sia in altre comunicazioni digitali, la responsabilità ricade in ultima analisi sulla tecnologia di per sé.

Nel caso dell’intrusione su Zoom avvenuta alla UNL è il caso di soppesare il ruolo svolto dalla tecnologia stessa.

Qui la tecnologia è davvero da incolpare?

Con tutti i benefici del caso, in questo contesto la tecnologia non sembra di certo essere stata d’aiuto.

L’evento promosso dall’UNL sull’Ucraina era accessibile tramite un link Zoom pubblico, dando di fatto accesso a chiunque nel mondo a patto di riuscire a recuperare l’invito. Inoltre, il modo con il quale il panel aveva impostato la riunione consentiva a tutti i partecipanti dello Zoom Meeting (per impostazione predefinita) di parlare e presentare file. Nonostante ci si trovasse in un ambiente ottimale, quale è un forum democratico e aperto, nei fatti le circostanze hanno dato modo ai troll di fare irruzione sulla scena.

A seguito di questa interruzione, prima di puntare il dito su come era stata impostata la conferenza, vale la pena prendere in considerazione la possibilità che gli organizzatori non avessero molte altre opzioni per il formato del loro panel. Tuttavia, non si tratta della prima volta che la piattaforma Zoom finisce sotto i riflettori per problemi d’interruzione. Dall’ascesa della piattaforma durante la pandemia del 2020, i troll hanno interrotto le chiamate Zoom così spesso che gli utenti hanno coniato un termine per questo: “Zoombombing”: durante questo periodo in particolare, lo Zoombombing era talmente comune che l’FBI è intervenuto con un avvertimento al riguardo. Trascorso un anno, Zoom ha pagato ben $ 85 milioni per chiudere una causa su tale pratica.

Alla luce dei troll allineati con la Russia che hanno interrotto il dibattito dell’UNL sull’Ucraina, quindi, dovremmo considerare quanto Zoom aiuti a proteggere le presentazioni online.

Ciò significa porsi alcune domande quali:

  • Quanto è facile impostare una sessione privata?
  • Quanto facilmente l’utente medio può prendere parte a sessioni aperte?
  • Quali misure di verifica possono essere messe in atto per i partecipanti?
  • Quanto controllo avrà un partecipante sulla sessione rispetto agli organizzatori?

Avere un sistema che sia in grado di rispondere con adeguatezza a queste domande garantirà prima di tutto che le interruzioni non si possano verificare, sia creando migliori sessioni online, sia contrastando il flusso di disinformazione alla fonte.

La sicurezza di una piattaforma video è veramente così importante?

Senza dubbio, lo è. E Zoom stesso lo dimostra.

Anche al di là delle videochiamate aperte al pubblico che sono state interrotte, Zoom non ha mai brillato in materia di sicurezza. Appena un paio di anni fa, nel 2020, Zoom ha violato la propria politica sulla privacy inviando i dati dei propri utenti a Facebook, instradando inutilmente le chiamate mediante un server di proprietà cinese e subendo un hackeraggio dati che ha portato alla vendita sul dark web di ben 530.000 credenziali degli utenti. Cosa peggiore, le misure di sicurezza della piattaforma, scarsamente ottimizzate, hanno spinto gli utenti a rendere inconsapevolmente disponibili pubblicamente sul web migliaia di registrazioni di conferenze.

In normali circostanze, ciò rappresenta una grave violazione delle informazioni riservate oltre alle violazioni generali della privacy. Tuttavia, considerando il fatto che la Russia sta intensificando le campagne di disinformazione online – e, molto probabilmente, il proprio modello di attacchi informatici – risulta ancor più importante conservare al sicuro i tuoi dati e le tue conferenze.

Ma proprio quando si tratta di bloccare il flusso di disinformazione, è fondamentale arrestare quel processo alla fonte. Ciò sta a significare il tener fuori i probabili disturbatori dalla parola “vai”, e allo stato dei fatti, questo non sembra essere qualcosa che Zoom è in grado di fornire con facilità.

Stai cercando una soluzione che ti garantisca tale sicurezza? Scopri come Wildix, una piattaforma di comunicazione completamente secure-by-design, si posiziona rispetto a Zoom nel nostro precedente post sul blog.

Lo Stato dei Legami Russi con le UC&C

sanctions and boycotts

Per oltre un decennio, i cyber attacchi e i rischi generali legati la sicurezza online hanno avuto origine dalla Russia; negli ultimi tempi, si è registrato un loro incremento sia in termini di frequenza sia per quanto riguarda la facilità di metterli in relazione al governo russo. Adesso, con l’invasione russa dell’Ucraina, gli sforzi di guerra informatica del Cremlino si sono esplicitamente trasformati in guerra fisica.

Di conseguenza, le attività sponsorizzate dallo Stato per raccogliere illecitamente informazioni non possono più essere considerate delle semplici minacce astratte; ora, queste attività sono finalizzate ad attacchi e distruzioni reali.

Sulla scia di questa guerra, risulta di particolare importanza il considerare dove si trovano le aziende tecnologiche rispetto alla Russia. Dopotutto, i continui investimenti nell’infrastruttura tecnologica della Russia rappresentano dei potenziali modi per il Governo russo di proseguire la guerra informatica e, per estensione, essere di supporto agli effettivi sforzi bellici che stanno portando avanti in Ucraina.

Va da sé che molte aziende specializzate in tecnologica hanno annunciato senza mezzi termini la conclusione del rapporto con la Russia in ogni forma, compresi i principali attori quali Apple, Oracle e SAP. Wildix, con una mossa simile, ha condannato l’invasione e ha esplicitamente separato tutti gli account russi dalla sua rete di comunicazione che si basa sul cloud.

Ma come hanno reagito finora all’evento le altre aziende della comunicazione digitale? Mentre alcune hanno preso una posizione, molte preferiscono non sbilanciarsi sulla questione rimanendo in silenzio.

Monitoraggio di come le principali aziende di telecomunicazioni hanno risposto all’invasione dell’Ucraina

Microsoft

Lo sviluppatore della piattaforma Teams ha preso una posizione decisa sullo stato dei legami con la Russia: il 4 marzo 2022, la società ha annunciato che avrebbe sospeso tutte le nuove vendite e servizi in Russia, adducendo come chiaro motivo l’invasione dell’Ucraina.

Tuttavia, questo annuncio di per sé potrebbe non indicare una separazione totale dalla Russia. Al momento in cui si scrivono queste righe, Microsoft gestisce ancora un ufficio a Mosca, seppure non sia ben è chiaro se tale sede verrà lasciata libera o continuerà a essere operativa. Comunque sia, lo stesso giorno in cui ha comunicato che avrebbe interrotto i servizi in Russia, l’ufficio Microsoft di Mosca ha pubblicato su LinkedIn un annuncio di lavoro per la ricerca di un responsabile del supporto tecnico. Questo fa pensare che ci siano dei piani per continuare le operazioni in Russia.

Vonage

Dando un’occhiata al sito web di Vonage, vi sono delle sezioni che sembrano prendere di mira una base russa di consumatori. Per di più, la società madre di Vonage, Ericsson, ha una sezione significativa rivolta alla Russia sulla rispettiva pagina web e un notevole numero di annunci di lavoro per uffici russi. Oggi come oggi, Vonage stessa non si è ancora pronunciata sui piani futuri per i suoi collegamenti russi sulla scia dell’invasione dell’Ucraina.

Quello che Vonage ha pubblicato è, tra i soliti post sui social media, una reiterazione di un rapporto sui trend del 2021 che riporta dati dei clienti russi. Seppur questo rapporto debba essere scaricato prima che mostri chiaramente legami con la Russia, se lo si aggiunge ai contenuti web specificatamente dedicati agli utenti russi, si può dedurre che ci siano ancora legami continuativi con la nazione.

RingCentral

Anche se non abbiamo visto RingCentral rilasciare una dichiarazione riguardante la Russia o la sua invasione, la società sembra aver rimosso gli accenni alla Russia dal suo sito web. Ha anche preso le distanze dai vecchi legami con la Russia: il co-fondatore dell’azienda è diventato a pieno titolo un cittadino statunitense.

Alcuni suggerimenti di legami rimangono, tuttavia, come Glassdoor che riceve recensioni per l’ufficio di Mosca di RingCentral, la più recente aggiunta il 1° marzo 2022. Inoltre, RingCentral rende ancora noto sul suo sito web che i dati personali memorizzati negli Stati Uniti o nello Spazio economico europeo sono accessibili dalla Russia.

8×8

In generale, i legami tra 8×8 e la Russia sembrano essere minimi, la società non ha propri server di dati, uffici o posti di lavoro nella Nazione. Sebbene 8×8 non si sia espressa sulla Russia o sull’invasione dell’Ucraina, sembra che abbia pochi collegamenti in termini di connessioni da interrompere attivamente.

L’unica eccezione sembra essere che l’anno scorso 8×8 ha annunciato che stava estendendo i servizi di telefonia alla Russia, un’offerta da cui non sembra essersi allontanata.

Cisco

Nel caso di Cisco, la questione dei legami russi è stata resa alquanto esplicita. Il 3 marzo 2022, la società ha formalmente annunciato l’interruzione di tutte le operazioni commerciali in Russia, assumendosi l’impegno di sostenere le sue relazioni con l’Ucraina e condannando l’invasione russa dell’area. Una rapida ricerca degli annunci di lavoro dell’azienda conferma tale impegno, in quanto nessuno appare sotto il filtro della Federazione Russa.

Sebbene Cisco abbia un ufficio a Mosca e il sito web dell’azienda rivolto alla Russia rimanga attivo, non vi è nulla che confermi relazioni con il mercato russo.

Google

Nonostante ai fini delle comunicazioni unificate guardiamo a Google come allo sviluppatore di Meet, le sue soluzioni aziendali complessive sono, naturalmente, ben più vaste. Uno dei principali servizi dell’azienda, Google Ads, è stato sospeso in Russia a partire dal 3 marzo 2022, in risposta alle richieste crescenti del governo russo di censura degli annunci pubblicitari mostrati in Russia.

Precedentemente, Google aveva rimosso le fonti di notizie sponsorizzate dallo stato russo Russia Today e Sputnik dal loro app store mobile. Sembra che nel frattempo in Russia l’attuale piattaforma Meet sia ancora utilizzabile.

Mitel

Mitel, con sede in Canada, non ha rilasciato alcuna dichiarazione in merito ai legami russi, nonostante la società faccia affari nella regione dal 2011 e abbia un ufficio a Mosca. Ha anche pubblicizzato lo svolgimento di un roadshow con una sosta in Russia nel 2019.

Si deve specificare che l’azienda, pur avendo una presenza telefonica che si estende in Russia, ha importanti data center situati solamente nel Regno Unito, in Francia, in Canada e negli Stati Uniti. Lo si ripete, tuttavia, non vi è nulla che suggerisca che Mitel abbia reciso con la Russia i legami commerciali che in passato aveva pubblicizzato.

Wildix

Sebbene Wildix abbia avuto all’inizio alcune connessioni russe, la società ha lavorato per tagliare anche quelle rimuovendo dal suo sistema PBX cloud i suoi pochi account situati in Russia e qualsiasi menzione di copertura della Russia dal proprio sito web.

Considerato il fatto che Wildix ha un buon numero di personale ucraino, la società ha messo in atto il massimo impegno per evacuare il maggior numero possibile di dipendenti dal Paese durante l’invasione da parte della Russia. Questo si aggiunge a una spinta più ampia per spostare i clienti sui PBX cloud per la maggiore sicurezza offerta dalla piattaforma, in particolare dagli attacchi informatici che hanno origine dalla Russia.

Guardando Avanti

Al momento della scrittura di questo articolo, la Russia dà tutta l’idea di non aver l’intenzione di ridimensionare la sua invasione dell’Ucraina, il che probabilmente sta a significare un aumento delle sue già estese operazioni di hacking. Poiché tali cyber attacchi hanno storicamente compreso il sequestro di documenti riservati e ransomware, è ancor più importante che, sia le singole persone sia le aziende facciano uso di pratiche online sicure.

Una di queste pratiche da attuare al massimo è considerare se le reti e i canali che si stanno usando abbiano dei collegamenti con la Russia. Storicamente, i cyber attacchi sponsorizzati dalla Russia hanno fatto ricorso a ogni canale Internet a cui sono in grado di accedere per porre in atto operazioni illecite. Sfortuna vuole, che se tutti i canali che si usano risultano associati ad imprese russe, aumenta il rischio che vengano cooptati.

Andando avanti, è vitale per le coscienze e la sicurezza valutare chi è rimasto in Russia in balia di tali attacchi e chi ha scelto di allontanarsene del tutto.

Phishing e Altre Forme di Frode: Come Proteggersi dalle Truffe Online


Su Internet, le frodi si presentano sotto molte forme: dalle sospette “offerte speciali” fino alle royalty di dubbia origine, le truffe sono talmente comuni per gli utenti online che molte sono diventate proprie del folklore del World Wide Web.

Tuttavia, molti criminali informatici sono ancora in agguato online, con la voglia di trarre un proprio tornaconto da ogni combinazione di fiducia, paura o semplicemente ignoranza. Spesso, queste persone riescono nel loro intento non perché penetrano direttamente nella sicurezza del sistema, bensì per il fatto che riescono ad allestire imbrogli spaventosamente comuni.

Leggi tutto “Phishing e Altre Forme di Frode: Come Proteggersi dalle Truffe Online”

Cyber Attacchi Russi: Scoperti i Rischi Più Segreti per la Sicurezza

Scopri le più grandi minacce alla sicurezza informatica dei giorni nostri e le migliori pratiche per contrastarle

russia-based cyberattackers

Oggigiorno, la corsa agli armamenti si è spostata dai migliori modi per creare degli ordigni bellici sempre più pericolosi ai migliori modi per aggirare la sicurezza digitale. Proprio come per il picco di attenzione per il nucleare, in questo nuovo contesto l’attenzione è alta verso il tema degli attacchi informatici e sotto la lente di ingrandimento c’è la Russia. Gli sforzi di questo Paese per insinuarsi nei database digitali si sono estesi ovunque, dalle organizzazioni politiche alle centrali elettriche, dimostrandosi allo stesso tempo sia efficaci che sfuggenti.

Comunque sia, l’intelligence governativa di molti paesi è riuscita a tracciare e a identificare molte delle minacce di matrice russa. Queste agenzie hanno scoperto sia le identità di questi gruppi così come le loro metodologie più comuni per gli attacchi informatici.

Adesso che la Russia ha fatto delle incursioni “fisiche” nel mondo, non si può e non si deve ignorare la necessità di comprendere come operano questi gruppi. Per restare al sicuro, è fondamentale sapere quali sono le minacce.

Snake

Uno dei nuclei più importanti tra i criminali informatici con sede in Russia è Snake, un’organizzazione hacker che si presume attiva dal 2004. L’associazione è considerata dal BfV ossia il Federal Office for the Protection of the Constitution della Germania (Ufficio Federale Tedesco per la Protezione della Costituzione) come “il Santo Graal dello spionaggio” e ottiene il punteggio più alto possibile nell’indice Advanced Persistent Threat (APT).

Il primo attacco noto da parte di Snake è avvenuto nel dicembre 2017, quando un malware ha infettato il Ministero degli Esteri tedesco e ha preso il comando dei suoi computer per mettersi in contatto con dei siti web contraffatti. Ciò ha consentito a Snake di raccogliere dati dai server del Ministero e di aver l’accesso a documenti riservati.

Per fortuna, gli hacker lasciarono due nomi utente nei database violati: “Vlad” e “Urik”, che, seppur vaghi, sono bastati per associare gli attacchi alla società russa Center-Inform. Dal momento che è noto che la Center-Inform ha legami con l’FSB, ossia il Federal Security Service (Servizio di Sicurezza Federale Russo), le comunità di intelligence dell’intero pianeta sono arrivate alla conclusione che Snake agisce da gruppo specializzato in attacchi informatici sponsorizzato dallo stato russo.

Sia il BfV Tedesco sia l’Agenzia Canadese di Intelligence dei Segnali CSE hanno descritto il malware creato dallo Snake come “geniale” nella sua progettazione. Questo si riferisce all’efficacia del malware nel permettere di condurre attacchi informatici: una volta che un computer risulta infettato, un hacker riesce a rubare dati con estrema facilità.

Naturalmente, il pericolo sussiste se il malware riesce a insediarsi completamente nei dispositivi: molti esempi hanno dimostrato come l’accesso iniziale non provenga da una forzatura dei sistemi.

Fancy Bear

Se si è prestato attenzione alla politica americana nel 2016, questo nome potrebbe suonare familiare. Fancy Bear, noto anche come APT28 o Sofacy, ha guadagnato la sua prorompente notorietà dopo essere stato collegato agli attacchi informatici condotti in occasione della campagna presidenziale di Hillary Clinton, al Democratic National Committee e al Democratic Congressional Campaign Committee nel 2016. Tuttavia, si ritiene che il gruppo sia stato responsabile di ulteriori attacchi tra il 2014 e il 2018 contro entità di alto profilo, tra le quali l’Agenzia Mondiale Antidoping (World Anti-Doping Agency), l’Organizzazione per la Proibizione delle Armi Chimiche (Organization for the Prohibition of Chemical Weapons) e il Laboratorio Elvetico di Prodotti Chimici Spiez (Spiez Swiss Chemicals Laboratory).

Gli obiettivi del Fancy Bear non sono concentrati esclusivamente negli Stati Uniti e in Europa occidentale, e non sono nemmeno limitati alle organizzazioni. Altre vittime degne di nota degli attacchi informatici sferrati dal gruppo comprendono giornalisti della Russia, dell’Ucraina e della Moldavia che hanno scritto in modo critico su Vladimir Putin. Tra il 2014 e il 2016, tra le incursioni russe in Ucraina e in Crimea, i cyber attacchi ricondotti al Fancy Bear hanno persino colpito le unità di artiglieria ucraine e le hanno rese inoperative.

Gli obiettivi del Fancy Bear sono per lo più gli stessi che rientrano negli interessi dello Stato russo ed è facile presumere che siano associati al Cremlino. Per essere più specifici, le indagini condotte dalla società di sicurezza informatica CrowdStrike, dal Foreign and Commonwealth Office del Regno Unito e dallo Special Counsel degli Stati Uniti hanno messo in relazione il Fancy Bear con il Governo Russo e l’Agenzia di Intelligence Russa GRU.

Ciò che distingue il Fancy Bear dagli altri gruppi nel campo dei cyber attacchi è la sua metodologia. In genere il gruppo riesce ad accaparrarsi i dati non attraverso l’infiltrazione forzata, bensì tramite l’ingegneria sociale: crea dei siti web che ingannano gli utenti facendo inserire loro dati riservati. Molte delle sue campagne sono state il risultato di comunicazioni fasulle che hanno indotto e inducono i destinatari a fornire le proprie credenziali di accesso (ciò è noto come “phishing” o, nel caso si venga a prendere di mira una persona o account importante, “spear phishing”). Una volta che gli obiettivi fanno clic su questi siti web oppure inseriscono le loro credenziali, il Fancy Bear infetta il dispositivo con un software che raccoglie illecitamente dati dal dispositivo stesso e dalla rete a cui è connesso.

Il Fancy Bear è decisamente efficace in quello che fa ed è anche in grado di mettere in atto più campagne di hacking allo stesso tempo. Tuttavia, è ben lungi dall’essere l’unico gruppo associato alla Russia a ricorrere a tali tecniche.

Cozy Bear

Un altro cyber sodalizio malavitoso legato alla Russia e noto per fare un uso massiccio del phishing, è il Cozy Bear, detto anche APT29 o The Dukes. In azione almeno dal 2008, si ritiene che il Cozy Bear sia associato al Foreign Intelligence Service (SVR) della Russia e che rivolga la sua attenzione alle reti governative di tutta Europa, in particolare dei Paesi membri della NATO. Altri obiettivi del gruppo includono gruppi di riflessione e, secondo quanto riferito, il Democratic National Committee negli Stati Uniti.

L’attacco informatico più incisivo del Cozy Bear si è avuto nel 2020 con la violazione a tappeto dei dati della SolarWinds. La SolarWinds, una società tecnologica statunitense, è stata segretamente violata dalle affiliate del Cozy Bear per impiantare malware per la raccolta di dati nel sistema principale dell’azienda. Tale hackeraggio si è presto allargato colpendo migliaia di altre vittime, mentre la SolarWinds si trovava a distribuire inconsapevolmente il codice alterato tramite un aggiornamento della z, passando l’exploit ai principali clienti, tra i quali Microsoft, Intel e il Dipartimento della Difesa degli Stati Uniti.

Come il Fancy Bear, il Cozy Bear usa lo spear-phishing come mezzo principale per infiltrarsi nei sistemi, con pressanti e ampie campagne che tentano di sollecitare credenziali da figure importanti nelle organizzazioni prese di mira. Il gruppo è noto per la persistenza ostinata anche in queste offensive e in genere per prendere di mira obiettivi stabili.

Sandworm

Il termine “Sandworm” significa “verme della sabbia”. Seppur questo gruppo sia spesso conosciuto con il suo nome di riferimento al celebre film Dune, in certi ambienti è anche chiamato Voodoo Bear. Ma qualunque sia il nome che viene dato al gruppo, Sandworm si colloca tra i più famigerati cyber criminali legati alla Russia.

Secondo quanto riferito, il gruppo è associato al GRU e avrebbe effettuato il singolo attacco informatico più esteso della storia con i suoi attacchi malware NotPetya, che nel 2017 hanno colpito contemporaneamente Francia, Germania, Italia, Polonia, Regno Unito, Stati Uniti e soprattutto Ucraina, costando alle vittime un totale di $ 10 miliardi di danni.

In tempi più recenti, Sandworm ha sviluppato un malware chiamato Cyclops Blink, che agenti malintenzionati hanno posizionato su dispositivi di rete prodotti dal fornitore di sicurezza IT Watchguard. Secondo le Agenzie di Intelligence Statunitense, probabilmente il Cyclops Blink è un successore del programma VPNFilter della Sandworm; anni prima, il VPNFilter aveva infettato i router di rete e si era diffuso su mezzo milione di macchine, trasformandole in una botnet globale controllata dallo Sandworm e, per estensione, dal GRU.

Ma qual è l’obiettivo finale dello VPNFilter? E quello del Cyclops Blink? A dire il vero, in realtà non lo si è ben capito. Per quanto sia probabile che Sandworm abbia installato questo malware al fine di poter controllare, è altrettanto possibile che stia creando un’infrastruttura digitale per trasferire comunicazioni segrete di origine russa. Parimenti, la ragione potrebbe essere quella di gettare le basi per una capillare interruzione delle reti colpite; è il caso di ricordare, dopo tutto, come nel 2015 Sandworm sia stato in grado di abbattere parti di non poco conto della rete elettrica ucraina.

La buona notizia è che, nel caso del Cyclops Blink, la Watchguard ha felicemente corretto la vulnerabilità scoperta da Sandworm e usata per l’accesso: gli utenti possono cancellare il malware semplicemente ripulendo i loro dispositivi e reinstallando il software. Tuttavia, l’esempio dimostra ancora una volta che un hardware personale potrebbe essere trasformato in veicolo inconsapevole per i cyber attacchi.

Best Practice & Lezioni Apprese

Per quanto oscuri e inarrestabili tutti questi gruppi vogliano apparire, resta il fatto che nessuna delle loro metodologie è un mezzo di ingresso garantito. Persino quando i cyber attacchi sono condotti da hacker esperti e si nascondono in rete, una combinazione best practices e software ottimamente progettati e aggiornati garantiscono la tua sicurezza.

La principale tra queste best practice è quella di essere pronti e saper cosa fare in caso di tentativi di phishing: non cliccare su link sospetti, non rispondere alle e-mail di spam e non rispondere in alcun caso a messaggi con le proprie credenziali di accesso o le informazioni per il recupero dell’account. È importante inoltre evitare siti web e file che non si conoscono. Una buona norma per garantirsi una tutela ancora maggiore consiste nell’impostare l’autenticazione a due fattori o il singolo accesso.

In termini di infrastruttura di sistema, il passaggio dall’hardware on-premise al cloud dà modo di usufruire di una protezione migliore. Basta considerare quanto spesso gli attacchi informatici hanno utilizzato malware ed exploit nell’hardware per mettere in atto le loro offensive: quando un sistema si sposta sul cloud, questo rischio diminuisce, sia per il fatto che le vulnerabilità vengono corrette non appena viene distribuito l’hotfix associato, sia per il fatto che non c’è più alcun “hardware” tradizionale da infettare.

Più in generale, ovviamente, è sempre buona cosa ricorrere a un sistema che utilizza a sua volta protocolli di sicurezza intelligenti. Per quanto riguarda le comunicazioni digitali, Wildix si distingue per avere una struttura secure-by-design; ciò grazie a una combinazione di tecnologie che proteggono gli utenti da violazioni e intercettazioni senza VPN, SBC o altre componenti aggiuntive. Si possono leggere ulteriori informazioni sulle pratiche di sicurezza di Wildix all’interno del nostro White Paper dedicato: clicca qui.

Comunque si scelga di operare, farlo in piena sicurezza non è mai stato così cruciale. Mentre la Russia sta invadendo l’Ucraina, è probabile che rilanci i cyber attacchi con rinnovato vigore, probabilmente coinvolgendo l’hardware straniero nel corso delle sue offensive. Se stai cercando un modo difenderti da questi attacchi, inizia a formati sui metodi che la Russia segue per condurre attacchi informatici e metti i tuoi dispositivi al sicuro.

Per ulteriori consigli sulla sicurezza informatica e sulla tecnologia, iscriviti e ricevi gratuitamente il nostro magazine.

La Trattativa del Secolo

StarSystem batte Avaya su 300 utenze con Wildix

Si sa: gli ingredienti per una trattativa vincente con un cliente difficile sono segreti e non c’è Managed Service Provider che non sia geloso dei suoi migliori trucchi nel campo della persuasione. E invece, per una volta, siamo riusciti a carpire la ricetta magica che ha portato StarSystem a vincere in una trattativa serrata contro Avaya.  CISL Padova-Rovigo — un’azienda pubblica da 300 utenti finali in diverse sedi, che a fine installazione saranno 600 – ha finito per rinunciare a un marchio più noto e a un prezzo molto più basso alla fine dell’installazione. Leggi tutto “La Trattativa del Secolo”