Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Cyber spionaggio Russia-Ucraina: tra campagne malware e copycat

Olivia Terragni : 27 Gennaio 2025 18:39

Se i gruppi ATP si affidano sempre di più al malware con potenziale distruttivo (vd. malware wiper), come arma importante nella guerra informatica, campagne di cyber spionaggio, di influenza e manipolazione – soprattutto sui social media per sfruttare le fratture sociali –  completano il panorama per destabilizzare le istituzioni dall’interno. No, non ci sono stati i famosi attacchi catastrofici tanto minacciati, a ben guardare la ‘guerra informatica’ punta ad attacchi mirati, più piccoli certo e non apocalittici, ma che coinvolgono tutto il tessuto sociale, in una frammentazione che riguarda anche il panorama ransomware, con lo scopo di erodere fiducia e sistemi in quel paese, in quella istituzione, in quella forza. 

Allora torniamo a parlare degli sviluppi cyber nell’Europa Orientale, sopratutto alla luce di in un conflitto in corso che sembra sempre più offuscato tra i segnali e rumori di potenziali accordi e negoziazioni tra Russia e Ucraina, dove l’Europa, secondo le parole del presidente ucraino Volodymyr Zelens’kyj a Davos, l’Europa dovrebbe affermarsi come un attore “indispensabile”, senza chiedersi cosa farà Trump. 

attacchi malware 2024
Fonte: The State of Cyber Security 2025, Check Point Research, percentuale organizzazioni colpite per tipologia di malware nel 2024

Russia-Ucraina: malware e Copycat come supporto vitale dei conflitti geopolitici

I malware distruttivi dei gruppi legati alla Russia fanno parte della più ampia strategia di guerra ibrida in Ucraina, tra il gruppo APT44 (Sandworm) che ha introdotto AcidPour, una variante avanzata del malware AcidRain, progettato per distruggere i sistemi ma anche per insinuarsi in profondità e permettere l’infiltrazione dei piani militari sensibili o per interrompere canali di comunicazione critici. 

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Naturalmente ci sono attaccanti più silenziosi che entrano nei sistemi e lavorano sulla persistenza per potenziali interruzioni future. Abbiamo visto ottimi esempi di aggiramento della misure di sicurezza convenzionali con Volt Thypoon e Salt Thypoon verso gli USA, che indisturbato ha raccolto informazioni per chissà quanto tempo.

    I criminali informatici utilizzano tecniche sempre più complesse rendendo sempre più difficile prevenire attività dannose e proteggere i sistemi, tuttavia il cyber spionaggio e la raccolta di informazioni rimangono i target principali. Le minacce più persistenti che sono state rilevate in Ucraina sono arrivate dai gruppi di cyber spionaggio come le campagne offensive di UAC-0010 (Armageddon) insieme ad altre campagne svolte dal gruppo motivato finanziariamente UAC-0006 (SMOKELOADER malware), ricomparso nella primavera del 2024 e dal gruppo UAC-0050 che ha sfruttato LITEMANAGER per ottenere un accesso remoto non autorizzato ai sistemi presi di mira. Infine per continuare la lista il  gruppo UAC-0184  ha come target le Forze armate ucraine e che per tutto il 2024 ha mantenuto alto il numero di attività.

    Arriviamo così al gruppo identificato come UAC-0010 (Gamaredon o Shuckworm, Armageddon e Primitive Bear) che ha colpito agenzie di stato e di difesa ucraine e si ritiene che agisca su ordine del Servizio di sicurezza federale (FSB) russo e al suo Copycat GamaCopy che utilizzerebbe contenuti relativi a strutture militari come esca per lanciare i suoi attacchi verso la Russia o obiettivi di lingua russa. Le tecniche tattiche e procedure risulterebbero affini con quelle di Gamaredon e GamaCopy è stato sovrapposto a sua volta – rintracciando la fonte del campione – ad un altro gruppo di hacker denominato Core Werewolf, tracciato come Awaken Likho e PseudoGamaredon. Gli attacchi di Core Werewolf sono stati diretti contro organizzazioni russe legate al complesso industriale della difesa (DIP) e alle infrastrutture critiche informatizzate (CII)

    GamaCopy VS Gamaredon: false flag?

    Il team Knownsec 404 Advanced Threat Intelligence, secondo le analisi fatte in base alle informazioni ottenute, ritiene che GamaCopy – scoperto per la prima volta nel giugno 2023 –  abbia lanciato molteplici attacchi informatici contro i settori della difesa e delle infrastrutture critiche della Russia e sia attivo almeno dal 2021. “Sin dalla sua esposizione, questa organizzazione ha spesso imitato le TTP utilizzate dall’organizzazione Gararedon e ha utilizzato abilmente strumenti open source come scudo per raggiungere i propri obiettivi confondendo al contempo il pubblico”. GameCopy sarebbe quindi una false flag. “GamaCopy” viene evidenziato “è uno dei tanti autori di minacce che hanno preso di mira le organizzazioni russe in seguito alla guerra russo-ucraina, come Sticky Werewolf (noto anche come PhaseShifters), Venture Wolf e Paper Werewolf”.

    Knownsec 404 evidenzia poi come l’intera catena di attacco di Gamaredo che utilizza UltraVNC strumento legittimo di gestione remota – presenti differenze significative rispetto al campione scoperto questa volta. Associando diversi campioni il team ha scoperto che:

    • entrambi i gruppi avviano i propri attacchi utilizzando contenuti correlati a strutture militari come esca,
    • viene utilizzato l’autoestraente 7z (SFX) per rilasciare e caricare i payload successivi,
    • viene utilizzato lo strumento open source UltraVNC per gli attacchi successivi,
    • GameCopy imita tecniche, tattiche e procedure (TTP) di Gamaredon che invece conduce attacchi verso l’Ucraina.

    Analizzando diversi campioni Knownsec 404 ha evidenziato come nei precedenti documenti .pdf esca Gamaredon abbia utilizzato prevalentemente esche in lingua ucraina, mentre GamaCopy ha utilizzato principalmente esche in lingua russa. L’attività inoltre condivide diverse somiglianze con le campagne Core Werewolf, tra cui l’utilizzo di file 7z-SFX per installare ed eseguire UltraVNC come Gamaredo ha ripetutamente utilizzato documenti 7z-SFX e UltraVNC in precedenti attività di attacco.

    Russia Ucraina GamaCopy Gamaredo Knownsec 404
    Fonte immagine: Knownsec 404 team, Love and hate under war: The GamaCopy organization, which imitates the Russian Gamaredon, uses military — related bait to launch attacks on Russia

    Allo stesso tempo hanno scoperto che la catena di attacco dei due gruppi possiede significative differenze: nell’utilizzo di UltraVNC: Gamaredo, che spesso  spesso rilascia e carica l’UltraVNC finale tramite macro e utilizza script VBS più volte nella catena di attacco, ha utilizzato più frequentemente la porta 5612 anziché la porta 443 utilizzata nel campione in analisi. Quindi – si chiede Knownsec 404 – questo campione di attacco appartiene all’organizzazione GamaCopy?

    Olivia Terragni
    Autore, ex giornalista, laureata in Lettere e Filosofia con indirizzo storico-economico e poi in Architettura, ha poi approfondito i suoi studi in Network Economy e in Informations Economics, conclusi con un Master in Cyber Security e Digital Forensics e un Master in Filosofia e Governance del Digitale. Appassionata di innovazione tecnologica e sistemi complessi e della loro gestione nell’ambito della sicurezza e della loro sostenibilità in contesti internazionali. Criminalista. Velista ottimista.

    Articoli in evidenza

    Truffa ai danni dell’INPS! Il Tuo Documento è in Vendita nel Dark Web? Siate sempre vigili e attenti!

    Il CERT-AgID ha più volte segnalato attività di smishing a tema INPS che continuano a colpire il territorio italiano. L’obiettivo, come già evidenziato, è il furto di c...

    Un Threat Actors Rivendica un Attacco informatico all’italiana Eprice. Possibile vendita di dati del 2008

    Nella giornata di ieri, nel noto forum del dark web BreachForum, l’utente dallo pseudonimo Alcxtraze sostiene di aver trafugato un database del noto sito italiano di e-commerce eprice.it. La qu...

    Reti WiFi Aperte: Un Terreno Fertile per il Cybercrime 

    Oggigiorno il proliferare di dispositivi portatili, indossabili o comunque Smart hanno reso indispensabile lo scambio di dati, l’accesso alle risorse e la navigazione in rete.  Questo appr...

    Un Attacco Informatico Colpisce l’AMA: tecnici al lavoro per il ripristino

    Nelle ultime ore, Ama, l’azienda comunale responsabile della gestione dei rifiuti di Roma, ha subito un attacco informatico ai propri sistemi. La società ha attivato immediatamente tutte l...

    Attacco Hacker ai Siti italiani: MoneroSHELL colpisce con il defacement 4 domini .IT

    Nella giornata di oggi, il gruppo di hacker noto come MoneroSHELL! ha compromesso diversi obiettivi web italiani, lasciando il proprio segno con una serie di defacement. L’attacco, reso noto at...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006