I ricercatori di Microsoft hanno individuato una campagna di attacchi informatici da parte dell’attore di minacce Nobelium che ha coinvolto e preso di mira circa 3.000 account di posta elettronica in più di 150 agenzie governative, think tank, consulenti e organizzazioni non governative.
Il numero maggiore di attacchi è stato contro le organizzazioni negli Stati Uniti; le vittime si estendono in almeno 24 paesi. Almeno un quarto delle organizzazioni prese di mira era coinvolto in attività di sviluppo internazionale, umanitarie e per i diritti umani.
“Nobelium, originario della Russia, è lo stesso attore dietro gli attacchi ai clienti SolarWinds nel 2020. Questi attacchi sembrano essere una continuazione dei molteplici sforzi di Nobelium per colpire le agenzie governative coinvolte nella politica estera come parte degli sforzi di raccolta di informazioni”, si legge nella comunicazione di Microsoft.
Gli attacchi lanciati questa settimana hanno consentito di ottenere l’accesso all’account Constant Contact di USAID, un servizio utilizzato per l’email marketing, dal quale l’attore malevolo è stato in grado di distribuire e-mail di phishing che sembravano autentiche ma includevano un collegamento che, una volta cliccato, inseriva un file dannoso utilizzato per distribuire una backdoor denominata NativeZone.
Questa backdoor potrebbe consentire un’ampia gamma di attività, dal furto di dati all’infezione di altri computer in rete.
Molti degli attacchi mirati ai clienti Microsoft sono stati bloccati automaticamente. Microsoft ha rilevato questo attacco e identificato le vittime e ha informato i propri clienti di essere stati presi di mira. Secondo gli esperti, non c’è motivo di credere che questi attacchi implichino exploit o vulnerabilità nei prodotti o servizi Microsoft.
I ricercatori sottolineano che questi attacchi sono notevoli per tre ragioni.
In primo luogo, quando accoppiato con l’attacco a SolarWinds, è chiaro che parte del playbook di Nobelium è ottenere l’accesso a fornitori di tecnologia affidabili e infettare i loro clienti. Portandosi dietro gli aggiornamenti software e ora i provider di posta elettronica di massa, Nobelium aumenta le possibilità di danni collaterali nelle operazioni di spionaggio e mina la fiducia nell’ecosistema tecnologico.
In secondo luogo, forse non sorprende che le attività di Nobelium e di attori simili tendano a seguire questioni di interesse per il paese da cui operano. Questa volta Nobelium ha preso di mira molte organizzazioni umanitarie e per i diritti umani. Al culmine della pandemia di Covid-19, l’attore russo Strontium ha preso di mira le organizzazioni sanitarie coinvolte nei vaccini. Nel 2019, Strontium ha preso di mira le organizzazioni sportive e antidoping. E precedentemente i ricercatori di Microsoft hanno rivelato l’attività di Strontium e altri attori che prendono di mira elezioni importanti negli Stati Uniti e altrove. Questo è un altro esempio di come gli attacchi informatici siano diventati lo strumento preferito da un numero crescente di stati-nazione per raggiungere un’ampia varietà di obiettivi politici, con l’obiettivo di questi attacchi di Nobelium contro i diritti umani e le organizzazioni umanitarie.
Terzo, gli attacchi informatici a livello nazionale non stanno rallentando. Risultano pertanto fondamentali regole chiare che regolino la condotta degli Stati nazionali nel cyberspazio e di aspettative chiare sulle conseguenze della violazione di tali regole.
https://blogs.microsoft.com/on-the-issues/2021/05/27/nobelium-cyberattack-nativezone-solarwinds/