Dall’Australia la ministra degli Esteri tedesca Baerbock ha accusato Apt28, un gruppo hacker legato ai servizi militari di Mosca, di essere responsabile dell’attacco nel 2023. “Ci saranno conseguenze” per la Russia, ha assicurato la ministra.
La Russia è dietro un attacco hacker alla Germania dello scorso anno, ha accusato giovedì la ministra degli Esteri tedesca, Annalena Baerbock.
“Possiamo attribuire questo attacco al gruppo chiamato Apt28, che è guidato dai servizi segreti militari della Russia”, ha dichiarato Baerbock in una conferenza stampa ad Adelaide, in Australia, dove è in visita.
“È un attacco intollerabile”, ha detto Baerbock e “avrà conseguenze“.
L’Spd, il partito socialdemocratico leader della coalizione di maggioranza in Germania, aveva denunciato nel giugno 2023 che gli account e-mail del partito fossero stati bersaglio di cyberattacchi nel mese di gennaio.
Chi è e come agisce il gruppo APT28
Il gruppo APT28, meglio conosciuto come Fancy Bear e che i ricercatori Microsoft hanno ora tracciato con il nome Forest Blizzard, è associato all’agenzia di intelligence militare della Russia, il GRU, ed è famoso per le sue sofisticate operazioni di cyber-attacco.
Attivo da quasi 15 anni, le attività del gruppo di hacking sostenuto dal Cremlino sono prevalentemente orientate alla raccolta di informazioni a sostegno delle iniziative di politica estera del governo russo.
Gli hacker del GRU mirano tipicamente a risorse di intelligence strategica come organizzazioni governative, energetiche, dei trasporti e non governative. Microsoft ha inoltre osservato che tra i principali obiettivi di Forest Blizzard ci sono anche i media, le aziende IT, le organizzazioni sportive e le istituzioni educative, delineando un quadro di minaccia estesa e diversificata che richiede attenzione e misure preventive adeguate da parte delle entità colpite.
Negli ultimi tempi, oltre alla CVE-2022-38028, Forest Blizzard ha sfruttato anche altre vulnerabilità, come la CVE-2023-23397 (con punteggio CVSS di 9.8 su 10), che interessa tutte le versioni del software Microsoft Outlook su dispositivi Windows. Inoltre, all’inizio di dicembre Microsoft aveva avvertito che Forest Blizzard stava tentando di utilizzare il bug di Microsoft Outlook per ottenere l’accesso non autorizzato all’interno dei server Microsoft Exchange almeno da aprile 2022.
La gang filorussa ha anche abusato di un bug di esecuzione del codice in WinRAR (CVE-2023-38831, punteggio CVSS: 7.8), dimostrando la sua capacità di adottare rapidamente exploit pubblici per condurre campagne di attacco mirate.
Un anno fa, i servizi di intelligence di Stati Uniti e Regno Unito hanno avvertito che APT28 stava sfruttando una vulnerabilità zero-day nei router Cisco per distribuire il malware Jaguar Tooth che gli permetteva di raccogliere informazioni sensibili da obiettivi negli Stati Uniti e in Europa.
Nello scorso mese di febbraio, un avviso congiunto emesso da FBI, NSA e partner internazionali ha avvertito che il gruppo criminale ha utilizzato EdgeRouters Ubiquiti hackerati per evitare il rilevamento negli attacchi.
I filorussi di APT28 sono stati anche collegati con la violazione del Parlamento Federale Tedesco (Deutscher Bundestag) e con gli attacchi al Comitato Congressuale Democratico (DCCC) e al Comitato Nazionale Democratico (DNC) prima delle elezioni presidenziali USA del 2016.