Mandiant, società di sicurezza informatica di proprietà di Google, ha pubblicato un rapporto su una serie di attacchi informatici da parte di un gruppo di hacker del Gru noto come Sandworm o Apt44. Già in passato era stato dimostrato un collegamento con il Gru da parte di un altro gruppo di hacker, Fancy bear (Apt28), che si basava su personale militare dell’unità militare 26165 ed era dietro a molti attacchi di alto profilo. Per quanto riguarda Sandworm, questo gruppo è solitamente associato a un’altra unità militare del Gru: l’unità militare 74455. E se Fancy Bear ha utilizzato principalmente attacchi di phishing per ottenere informazioni, Sandworm include anche attacchi a infrastrutture critiche in diversi Paesi e strutture militari della Nato. Come ha rivelato Mandiant nel suo rapporto, questo gruppo è, tra le altre cose, responsabile di numerosi attacchi informatici contro le infrastrutture energetiche e di telecomunicazioni dell’Ucraina e di numerosi attacchi legati allo spionaggio in diverse regioni del mondo, anche contro giornalisti e membri del governo. Secondo il rapporto Mandiant, gli hacker del gruppo Apt44 lavorano contemporaneamente su tre direttrici: lo spionaggio, il sabotaggio delle infrastrutture critiche (ad esempio, centrali elettriche o operatori di telecomunicazioni) e le operazioni psicologiche. Il loro focus principale è sulle azioni in Ucraina. In particolare, nell’ottobre 2022, un attacco hacker a una centrale elettrica in una delle regioni dell’Ucraina ha provocato un’interruzione di corrente. Allo stesso tempo, la stessa regione è stata oggetto di attacchi missilistici da parte della Russia.
Dall’inizio dell’invasione su vasta scala dell’Ucraina da parte della Russia nel 2022, su Telegram sono apparsi molti canali, i cui autori si atteggiano a gruppi di “hacktivisti” filo-russi, cioè attivisti hacker motivati da alcune considerazioni ideologiche. Mandiant ha scoperto che gli hacker di Apt44 sono direttamente collegati sia al gruppo XakNet che ad altri due gruppi: il canale Telegram “People’s CyberArmy” (precedentemente noto come CyberArmyofRussia) e “Solntsepek”. Gli esperti ritengono che questi canali vengano utilizzati per operazioni di influenza psicologica, nonché diffondere dati trafugati attraverso operazioni del Gru, la direzione generale per le informazioni militari. Le fughe di dati pubblicate dal gruppo sono state probabilmente effettivamente ottenute a seguito di un attacco da parte di hacker del Gru all’infrastruttura informatica statale dell’Ucraina un mese prima dell’inizio delle ostilità attive. Come risultato di un’analisi degli account associati al People’s CyberArmy, Mandiant è giunta alla conclusione che gli hacker del Gru possono “dirigere” il gruppo e “influenzare le sue pubblicazioni su varie piattaforme”. Grazie alla collaborazione con il Gru, il People’s CyberArmy è stato in grado di prendersi il merito di diversi attacchi alle infrastrutture – in particolare, nel gennaio 2024, il canale ha pubblicato un video con un pannello di controllo di un impianto di acque reflue in Polonia e l’approvvigionamento idrico della città di Abernathy in Texas, presumibilmente attaccata dal “CyberArmy”. Gli Stati Uniti hanno confermato l’attacco.
È improbabile che il CyberArmy possa svolgere un ruolo significativo in questa tipologia di attacchi: le sue competenze sono limitate alla capacità di organizzare un Ddos a breve termine su alcuni siti Web e l’accesso a un’infrastruttura, anche minore, richiede già competenze professionali. Il canale Soltsnepek, secondo Mandiant, dopo essere stato rinominato nel 2023, è diventato un canale attraverso il quale il Gru “fa trapelare” i dati ottenuti a seguito dei suoi hackeraggi. Per creare l’illusione della viralità, le pubblicazioni del People’s CyberArmy, Solntsepek e XakNet vengono ripubblicate da un’ampia rete di canali Telegram, creati anche dopo l’inizio dell’invasione su vasta scala dell’Ucraina da parte della Russia, come osserva Mandiant. Apt44 ha perseguito in modo aggressivo uno sforzo su più fronti per aiutare l’esercito russo a ottenere un vantaggio in tempo di guerra ed è responsabile di quasi tutte le operazioni dirompenti e distruttive contro l’Ucraina negli ultimi dieci anni. Durante la guerra di aggressione della Russia, Apt44 ha condotto una campagna ad alta intensità di sabotaggi informatici all’interno dell’Ucraina. Attraverso l’uso di strumenti informatici dirompenti, come il malware wiper progettato per disturbare i sistemi, Apt44 ha cercato di avere un impatto su un’ampia gamma di settori infrastrutturali critici. A volte, queste operazioni sono state coordinate con attività militari convenzionali, come attacchi cinetici o altre forme di sabotaggio, nel tentativo di raggiungere obiettivi militari congiunti.
Mentre la guerra con la Russia continua, è evidente che l’Ucraina rimane il fulcro principale delle operazioni Apt44. Tuttavia, come indica la storia, la disponibilità del gruppo a condurre operazioni informatiche a sostegno degli obiettivi strategici più ampi del Cremlino a livello globale è radicata nel suo mandato. È possibile quindi prevedere che le dinamiche politiche occidentali, le prossime elezioni e le questioni emergenti nei Paesi vicini alla Russia continueranno al centro delle operazioni di Apt44 per il prossimo futuro.
(*) Docente universitario di Diritto internazionale e normative sulla sicurezza
Aggiornato il 19 aprile 2024 alle ore 12:23
