Negli ultimi anni, il panorama della sicurezza informatica internazionale ha visto un aumento significativo delle attività di cyber spionaggio da parte di gruppi sponsorizzati da stati. Un caso recente riguarda la campagna attribuita ad APT28, gruppo legato all’intelligence militare russa GRU, che dal 2022 prende di mira aziende occidentali della logistica e della tecnologia. L’obiettivo principale è spiare le operazioni di coordinamento, trasporto e consegna degli aiuti stranieri destinati all’Ucraina, coinvolgendo decine di organizzazioni nei settori difesa, trasporti, gestione del traffico aereo e servizi IT in diversi paesi della NATO e in Ucraina stessa.

Tecniche di attacco e vettori di compromissione

Le tecniche impiegate da APT28 sono sofisticate e variegate. L’accesso iniziale alle reti bersaglio avviene tramite una combinazione di metodi: attacchi brute-force per indovinare le credenziali, campagne di spear-phishing con pagine di login false che simulano enti governativi o fornitori cloud, distribuzione di malware tramite email e sfruttamento di vulnerabilità note in sistemi come Microsoft Outlook (CVE-2023-23397), Roundcube (CVE-2020-12641, CVE-2020-35730, CVE-2021-44026) e WinRAR (CVE-2023-38831). Un’altra tecnica largamente usata è l’exploit di infrastrutture esposte in rete, come VPN aziendali, attraverso vulnerabilità pubbliche o attacchi SQL injection.

Movimenti laterali e raccolta dati

Una volta ottenuto l’accesso, gli attaccanti si muovono lateralmente nella rete con strumenti come Impacket, PsExec e RDP, ed esfiltrano dati sensibili tramite PowerShell, EWS e IMAP. Particolare attenzione viene riservata alla raccolta delle liste di utenti Office 365 e alla manipolazione dei permessi delle mailbox per garantire l’accesso prolungato alle email aziendali compromesse. Questo consente di monitorare costantemente le comunicazioni di aziende coinvolte nella logistica degli aiuti all’Ucraina.

Persistenza e nuove strategie di phishing

Ad aggravare il quadro, APT28 utilizza malware come HeadLace e MASEPIE per mantenere la persistenza sui sistemi e raccogliere ulteriori informazioni, anche se non ci sono prove dell’uso diretto di altri malware su target logistici o IT. L’azione degli attori russi si è estesa anche al monitoraggio di telecamere IP alle frontiere ucraine, per tracciare i movimenti degli aiuti.

La campagna si evolve continuamente: recentemente sono state scoperte nuove strategie di phishing che sfruttano infrastrutture cloud per nascondere pagine fake di reCAPTCHA, con l’obiettivo di distribuire stealer come Lumma. Queste tecniche mostrano una crescente attenzione all’evasione dei controlli di sicurezza e al targeting di utenti con competenze tecniche avanzate. La lotta contro queste minacce richiede aggiornamenti costanti, formazione del personale e una difesa multilivello per proteggere le infrastrutture critiche e i dati sensibili.