E’ il cloud aziendale il nuovo campo di battaglia degli hacker russi. Lo rivelano i ricercatori di Unit 42, unit della società Palo Alto Networks, secondo cui è in atto un’operazione di cyber-spionaggio che sfrutta i servizi cloud, in particolare Dropbox e Google Drive, per sottrarre dati sensibili a obiettivi di alto profilo, come governi e ambasciate.
Chi sono gli hacker russi
Al centro dell’indagine di Palo Alto Network il gruppo Cloaked Ursa – noto anche come Apt29, Nobelium e Cozy Bear – collegato all’International Intelligence Service russo, e responsabile di numerosi importanti attacchi informatici, tra cui quello a SolarWinds.
La nuova attività degli hacker arriva sull’onda della spinta ai servizi cloud impressa anche dalla pandemia. Secondo i ricercatori, Cloaked Ursa integra i servizi cloud più diffusi per “camuffarsi” evitando il rilevamento.
Il cloud “camuffa-attacchi”
L’uso di servizi cloud affidabili e legittimi non è del tutto nuovo per questo gruppo. A conferma di questa tendenza, Unit 42 di Palo Alto Networks ha scoperto che le due campagne più recenti di questo gruppo hanno sfruttato per la prima volta i servizi cloud storage di Google Drive e Dropbox.
“La natura onnipresente di questi servizi – fanno sapere i ricercatori – e il fatto che milioni di clienti in tutto il mondo li utilizzino, rendono il loro uso per distribuire malware eccezionalmente preoccupante”.
Come funziona il nuovo trend
Le nuove campagne sono mirate a obiettivi diplomatici. In particolare, sono state attaccate un’ambasciata straniera in Portogallo e un’ambasciata straniera in Brasile.
Gli attacchi iniziano con e-mail di phishing inviate a obiettivi presso le ambasciate europee, “mascherate” da inviti a incontri con ambasciatori, completi di un presunto ordine del giorno allegato come Pdf che in realtà si collega a un account Dropbox gestito dagli aggressori per consegnare Cobalt Strike, strumento di penetrazione utilizzato dagli aggressori.
“Gli aggressori continueranno a innovare e trovare modi per eludere il rilevamento per raggiungere i loro obiettivi. L’uso di Google Drive e DropBox è un modo a basso costo per sfruttare applicazioni affidabili – ha detto un ricercatore dell’Unità 42 -. In parole povere, significa che puoi facilmente ottenere gratuitamente un numero X di account Google e utilizzarlo per raccogliere informazioni e ospitare malware”.
L’unità 42 ha avvisato sia Dropbox che Google dell’abuso dei loro servizi e sono state intraprese azioni contro l’utilizzo degli account come parte di attacchi.