La NATO ha emanato un mandato di cattura contro uno degli hacker russi. L’accusa è di aver attaccato e sottratto dati dal Joint Air Power Competence Center, istituto tedesco che si occupa di gestire le risorse aeree durante la guerra. Ad essere presi di mira sono stati i think thank, ovvero gli esperti che si occupano dell’analisi di problemi politici e militari.
Non è la prima volta che gli hacker russi attaccano l’occidente nell’ambito di un conflitto che va avanti ormai da più di 110 giorni. La guerra si combatte anche sul campo informatico, con affondi sia da una parte che dall’altra.
Sembra che dietro l’attacco contro la NATO da parte degli hacker russi ci sia una sola persona: Nikolaj Kozachek, questo il suo nome, conosciuto anche come “blabla1234565” e “kazak”. L’hacker avrebbe portato avanti un attacco di cyber-spionaggio contro i think tank tedeschi, che si occupano di definire strategie per problemi di natura militare, politica ed economica.
L’hacker si è impossessato di una grande quantità di dati (non è stata resa nota la reale portata dell’attacco) per conto del governo di Mosca. Kozachek avrebbe anche installato un malware (un keylogger, per la precisione) con cui è riuscito a registrare gli input degli utenti del polo e anche catturare intere schermate.
Secondo i ritrovamenti degli investigatori tedeschi, Kozachek avrebbe penetrato il sistema NATO dei think tank a Kalkar, non lontano dal confine olandese, nella primavera del 2017. Ha installato un malware con funzione keylogger, che registra ogni battitura e invia screenshot.
Tagesschau
L’attacco, però, non è degli ultimi giorni: secondo gli investigatori sarebbe avvenuto nell’aprile 2017. Ora che le indagini si sono concluse, è emerso il nome di Kozachek, le modalità di attacco e i mandanti. Il mandato, rilasciato proprio in questi giorni, andrebbe a minare i già difficili rapporti con la Russia.
Secondo gli investigatori Kozachek farebbe parte del gruppo di criminali informatici “Fancy Bear”. Conosciuto anche come APT28 o Pawn Storm (tra i nomi più famosi), il gruppo sembrerebbe essere affiliato al GRU, un servizio segreto russo. Gli hacker di Fancy Bear prendono di mira chiunque sia ritenuto un nemico politico del Cremlino, a partire da singoli cittadini fino ad arrivare a organizzazioni e governi. Secondo il manifesto del gruppo, i membri provengono da diverse nazioni in tutto il mondo.
Il gruppo è stato particolarmente attivo tra il 2014 e il 2017, colpendo in particolare giornalisti americani, russi, moldavi che avevano criticato Putin e la crisi russo-ucraina. Uno dei più grandi attacchi di Fancy Bear è stato probabilmente quello contro il parlamento tedesco, avvenuto nel 2015 e che ha causato la disconnessione della piattaforma. Gli hacker rubarono inoltre più di 16GB di dati.
Dal 2014 al 2016 il gruppo ha preso di mira i siti dell’artiglieria ucraina, distribuendo una versione infetta di un’app militare usata per controllare i mezzi e i lanciamissili. L’attacco, secondo Crowdstrike, ha causato una perdita del 15-20% dei pezzi d’artiglieria. Un altro attacco di notevole portata è stato quello contro l’Agenzia Mondiale per l’Anti-Doping, nel 2016, per ottenere i dettagli di login dei dipendenti e dati sensibili.
I membri del gruppo usano soprattutto tecniche di phishing, malware nascosti in finti siti web e sfruttano le vulnerabilità zero-day. La modalità di attacco preferita da Fancy Bear è l’invio di email in cui si richiede agli utenti di modificare urgentemente la password, perché a rischio attacco. Cliccando sul link per il cambio password, l’utente viene mandato su un sito web costruito ad-hoc dagli hacker; qui la vittima cerca di effettuare il login e gli vengono sottratte le credenziali.