G. Iuvinale
Meno di un giorno dopo che la Russia e gli Stati Uniti hanno tenuto colloqui bilaterali sul dispiegamento di truppe russe vicino l'Ucraina, l'intelligence statunitense e le forze dell'ordine hanno emesso un avvertimento agli operatori di infrastrutture critiche sulle minacce degli hacker sponsorizzati dallo Stato russo.
L'allerta, redatta congiuntamente dalla Cybersecurity and Infrastructure Security Agency, dal Federal Bureau of Investigation e dalla National Security Agency americane, ha rivelato tattiche, tecniche e procedure comunemente osservate (TTP) utilizzate dagli attori delle minacce, nonché ha fornito indicazioni sulla risposta agli incidenti e regole di mitigazione.
CISA, FBI e NSA incoraggiano la comunità della sicurezza informatica, in particolare i difensori delle reti di infrastrutture critiche, ad adottare uno stato di maggiore consapevolezza e a condurre una ricerca proattiva delle minacce, come illustrato nella sezione Rilevamento. Inoltre, CISA, FBI e NSA esortano vivamente i difensori della rete ad attuare le raccomandazioni elencate di seguito e dettagliate nella sezione Mitigazioni. Queste mitigazioni aiuteranno le organizzazioni a migliorare la propria resilienza funzionale riducendo il rischio di compromissione o grave degrado aziendale, si legge nell'avviso.
La notizia è stata diffusa anche su twitter da Rob Joyce, Direttore del dipartimento di Cybersecurity presso la National Security Agency statunitense.
L'avviso mette in guardia contro "tattiche comuni ma efficaci" utilizzate per ottenere l'accesso iniziale alle reti delle vittime, inclusi spearphishing, attacchi di forza bruta e sfruttamento di vulnerabilità.
In passato, dice la nota, gli attori delle minacce persistenti avanzate (APT) sponsorizzati dallo Stato russo hanno utilizzato tattiche comuni ma efficaci, tra cui lo spearphishing, la forza bruta e lo sfruttamento di vulnerabilità note contro account e reti con sicurezza debole, per ottenere l'accesso iniziale alle reti di destinazione. Le vulnerabilità note per essere sfruttate dagli attori dell'APT sponsorizzati dallo Stato russo per l'accesso iniziale includono:
CVE-2018-13379 VPN FortiGate
CVE-2019-1653 Router Cisco
CVE-2019-2725 Server Oracle WebLogic
CVE-2019-7609 Kibana
CVE-2019-9670 Software Zimbra
CVE-2019-10149 Exim Simple Mail Transfer Protocol
CVE-2019-11510 Impulso sicuro
CVE-2019-19781 Citrix
CVE-2020-0688 Microsoft Exchange
CVE-2020-4006 VMware
CVE-2020-5902 F5 Big-IP
CVE-2020-14882 Oracle WebLogic
CVE-2021-26855 Microsoft Exchange
L'avviso, inoltre, ha precisato che gli attori degli attacchi informatici, sponsorizzati dallo stato Russo, hanno anche dimostrato sofisticate capacità commerciali ed informatiche compromettendo l'infrastruttura di terze parti, il software di terze parti o lo sviluppo e l'implementazione di malware personalizzato.
Le agenzie hanno anche pubblicato una serie di rapporti ed avvisi relativi agli hack legati alla Russia negli ultimi anni.Si tratta di precedenti attacchi che hanno preso di mira reti di governo statale, locale e territoriale nel 2020, intrusioni nel settore energetico tra il 2011 e il 2018 ed una campagna ampiamente segnalata contro le infrastrutture critiche ucraine nel 2015 e 2016.
In quell'ultimo incidente, hacker collegati alla Russia hanno attaccato le compagnie energetiche ucraine provocando gravi interruzioni di corrente. Gli attacchi hanno utilizzato malware per rendere inutilizzabili i computer e interrompere le reti elettriche.
Mentre il conflitto tra Ucraina e Russia continua a intensificarsi, nelle ultime settimane Stati Uniti e Gran Bretagna hanno inviato esperti di guerra informatica in Ucraina per preparare meglio il Paese agli attacchi alla rete elettrica e ad altri componenti critici delle infrastrutture, ha riferito il New York Times .
Comments