skip to Main Content

Tokyo 2020, Fancy Bear prende di mira ancora le Olimpiadi

Tokyo 2020, Fancy Bear Prende Di Mira Ancora Le Olimpiadi

di Pierguido Iezzi

Fancy Bear prende ancora di mira le Olimpiadi: questa volta tocca ai Giochi Estivi di Tokyo 2020. Attaccate le autorità anti-doping e altre organizzazioni sportive coinvolte a livello di controllo

Manca poco all’apertura dei Giochi Olimpici di Tokyo 2020 ma, mentre il Giappone continua i preparativi, deve anche prepararsi a far fronte a sofisticati cyber attacchi. Soprattutto da parte di gruppi del cybercrime spalleggiati da Stati. L’allarme è partito direttamente da una delle più note società americane attive nello sviluppo di software, che ha subito messo in evidenza la questione e lanciato il preavviso. Un gruppo di hacker di stato russi ha preso di mira in particolare le autorità preposte all’anti-doping e altre organizzazioni sportive coinvolte a livello di controllo. E’ “Strontium”, che si è più volte fatto conoscere per attacchi in Ucraina e in Corea del Sud. Il gruppo è anche noto come APT28, Sofacy, X-agent, Sednit, Sandworm e Pawn Storm. Da è sempre collegato al GRU (Glavnoe razvedyvatel’noe upravlenie, il servizio informazioni militare russo) ed è attivo almeno dal “lontano” (per i tempi della Rete) 2007.

Fancy Bear ha una lunga lista di bersagli nel tempo, la maggior parte dei quali sono “politici”

Nel corso della sua lunga attività, Fancy Bear è stato accusato di moltissimi Cyber Security Incident di altissimo profilo; dalla campagna di disturbo durante le elezioni presidenziali del 2016 negli Stati Uniti d’America, passando per il targeting intensivo di Paesi non “graditi” con il ransomware NotPetya (uno dei più devastanti e dannosi) al blackout della capitale ucraina Kiev e la violazione parziale dei database del Pentagono. Insomma un curriculum di tutto rispetto.

WADA nel mirino, ma non è la prima volta

Gli ultimi Cyber attacchi di APT28 hanno avuto inizio lo scorso 16 settembre, sembra proprio poco dopo che la World Anti-Doping Agency (WADA) ha trovato numerose irregolarità in un database conservato in un laboratorio antidoping della compagine olimpica russa. Lo spauracchio era quello che venisse replicata la situazione che aveva già coinvolto la nazionale in occasione dell’ultima edizione dei giochi olimpici in Brasile, dove a seguito di irregolarità 111 atleti erano stati banditi dalle competizioni. Gli esperti di cyber security che hanno rilevato l’inizio delle campagne contro le associazioni anti-doping, hanno sottolineato come al momento solo alcune abbiano avuto un qualche successo e come stiano proattivamente lavorando fianco a fianco delle vittime per migliorare il loro perimetro di difesa e recuperare quei sistemi già compromessi.

Le ultime vittime degli attacchi degli hacker russi

Oltre alla citata WADA, i ricercatori di cyber security hanno confermato che i criminal hacker di Fancy Bear hanno preso di mira almeno altre 16 organizzazioni sportive e antidoping nazionali e internazionali in tre continenti, ma non hanno rivelato l’identità delle vittime. Non è neppure la prima volta che il gruppo prende di mira organizzazioni antidoping. APT28 ha fatto trapelare dati riservati sugli atleti sottraendoli sempre dall’Agenzia Mondiale Anti-Doping, per ritorsione contro le sanzioni comminate contro gli atleti russi durante le Olimpiadi estive di Rio 2016. Come se non bastasse, gli hacker russi sono stati anche accusati di aver condotto simili attacchi – apparentemente sponsorizzati dallo Stato – durante le Olimpiadi invernali di Pyeongchang 2018 in Corea del Sud, quando hanno utilizzato il malware “Olympic Destroyer” per interrompere la rete ufficiale dei Giochi.

Il malware di Strontium ha causato danni alle Olimpiadi invernali di Pyeongchang

Anche se il malware non ha disturbato il feed in diretta durante la cerimonia di apertura, è riuscito a interrompere il sito ufficiale dei Giochi invernali per 12 ore. Inoltre, ha fatto crollare il Wi-Fi nello stadio olimpico di Pyeongchang e a bloccare televisori e internet nel centro stampa principale, lasciando i partecipanti incapaci di stampare i biglietti per gli eventi o di ottenere informazioni sulla sede.

Il modus operandi di Fancy Bear

Le tecniche di hacking preferite da Fancy Bear nell’ultima campagna comprendono:

  1. Spear-phishing: un tipo di phishing mirato che ha come bersaglio una sola persona, spesso portato avanti dopo una forte taylorizzazione dell’attacco stesso fatta osservando le abitudini della vittima in una fase di Data Gathering;
  2. Password spray: un attacco di “forza bruta” che tenta di accedere a un gran numero di account (username) con poche password di uso comune;
  3. Malware: Ne sono stati utilizzati sia di comuni che di più personalizzati a seconda del livello di resilienza della vittima.

Anche se queste tecniche sono molto note e non nuove, si sono evidentemente dimostrate molto efficaci nei precedenti attacchi informatici di APT28 contro governi, militari, think tank, studi legali, organizzazioni per i diritti umani, società finanziarie e università di tutto il mondo. Per esempio, quando la vittima apre il documento dannoso allegato a un’e-mail, l’exploit esegue automaticamente alcuni script PowerShell in background e installa malware sul computer della vittima, dando agli aggressori il pieno controllo remoto su di esso.

Pochi piccoli passi per proteggersi dagli attacchi di gruppi come APT28 e dal cybercrime

Per proteggere te stesso e la tua organizzazione dall’essere vittima di Fancy Bear e di simili campagne Cyber attacco, è raccomandabile implementare – laddove possibile – l’autenticazione a due fattori (2FA) su tutti i tuoi account e-mail aziendali e personali e di abilitare avvisi di sicurezza su link e file da siti web sospetti. Oltre a questo, si consiglia alle organizzazioni di educare i propri dipendenti a individuare gli attacchi di phishing, in modo da non essere indotti a fornire i dati personali del proprio datore di lavoro agli aggressori cibernetici. Che siano hackers di stato o gruppi del cybercrime.

Back To Top