APT28 o Fancy Bear è tornato. Agli inizi di ottobre il gruppo hacker collegato alla Russia ha lanciato un’operazione per infettare i partecipanti alla conferenza Cyber Conflict (CyCon) negli Usa.
Dai funzionari NATO a quelli dei paesi alleati. Lo ha scoperto Cisco Talos.
Lo ha fatto trasformando in un’arma il documento Word “Conference_on_Cyber_Conflict.doc”. Al suo interno è stato inserito il malware Seduploader per prendere di mira i delegati. Si tratta ufficialmente di un file di 2 pagine, preso dal sito web della Conferenza e creato il 4 ottobre. I cyber attacchi sono cominciati poi tre giorni dopo contro personaggi di alto profilo, interessati all’iniziativa e in generale al panorama della sicurezza del cyberspazio. All’evento, che si terrà il 7 e 8 novembre, parteciperanno infatti molti big player del settore. Tra questi l’ex direttore della National Security Agency (NSA), Keith Alexander, e il capo del Cyber Command dell’esercito Usa, Paul Nakasone.
Come è avvenuto il cyber attacco
APT28 o Fancy Bear sono strettamente collegati sia ai cyber attacchi sia al malware usato. Gli hacker russi, infatti, hanno usato Seduploader anche in passato e regolarmente sfruttano grandi eventi come il CyCon per lanciare offensive informatiche o operazioni di cyber spionaggio. In questo caso non è stato impiegata una vulnerabilità o uno 0-day. Ma semplicemente un linguaggio di scrittura nascosto nel documento Word. Probabilmente, la formazione non ha usato exploit per evitare di “bruciarli”, in quanto subito dopo la loro comparsa le aziende e i CERT sviluppano patch per bloccarli, rendendoli inutilizzabili in futuro. Fortunatamente, comunque, l’aggressione informatica è stata rilevata in tempo e quindi sventata. In caso contrario le cyber spie avrebbero avuto accesso a tutte le informazioni contenute nei computer delle vittime.
I militari Usa confermano l’aggressione. Forse parte della cyber strategia contro i settori energia, aeronautica, servizi idrici e manifatture critiche
Anche i militari Usa hanno confermato che c’è stato un tentativo di hackeraggio legato alla CyCon, senza però fare il nome di APT28 o Fancy Bear. A proposito un portavoce militare ha dichiarato a The Daily Beast che le forze armate sono a conoscenza degli eventi e che hanno avviato un’indagine. Inoltre, hanno aggiunto che avrebbero reso noti ulteriori dettagli quando appropriato. L’azione potrebbe essere collegata all’allarme lanciato dal CERT-Usa sul fatto che è in atto una campagna di cyber attacchi contro entità governative e organizzazioni nei settori dell’energia (nucleare in primis), servizi idrici, aviazione e manifatture critiche. Non ci sono certezze a riguardo, ma sembra che ci siano collegamenti con la Russia.
L’analisi di Cisco Talos sul cyber attacco ai delegati della CyCon