Commento a cura di John Hultqvist, Senior Director of Analysis, Mandiant Threat Intelligence
“Le accuse contro i membri del GRU vengono lette come una lista dei più importanti cyber attacchi a cui abbiamo mai assistito. Sandworm è stato coinvolto nei più aggressivi cyber attacchi e operazioni di informazione mai visti, tra cui i ripetuti e riusciti attacchi alla rete ucraina, i falsi attacchi ransomware NotPetya economicamente devastanti, le operazioni di hack and leak mirate alle elezioni francesi del 2017 e l’attacco ai Giochi Olimpici di Pyeongchang. Per inciso, sebbene non sia contemplato in questo capo d’accusa, Sandworm era implicato anche nelle interferenze elettorali statunitensi del 2016, avendo gestito la parte di divulgazione di informazioni delle operazioni di hack and leak, oltre ad effettuare intrusioni nelle infrastrutture elettorali”.
Attacco alle Olimpiadi di Pyeongchang
L’attacco alle Olimpiadi di Pyeongchang è stato il culmine di un lungo tentativo di screditare e infastidire la comunità olimpica, che è iniziato a poche ore dalla decisione di squalificare gli atleti russi dai Giochi. Prima dell’attacco distruttivo, Sandworm e altri elementi del GRU hanno orchestrato attacchi DDoS, operazioni di hack and leak e altre operazioni in seguito alla decisione, arrivando fino al punto di viaggiare per effettuare attacchi hacker da vicino.
I Giochi di Pyeongchang sono stati presi di mira da un attacco distruttivo intenzionato a bloccarne le attività, che ha quasi avuto successo. L’attacco è stato effettuato con un malware affine agli strumenti utilizzati dalla Corea del Nord, ma sono stati scoperti i legami con Sandworm. Nonostante i loro sforzi per depistare gli investigatori, il coinvolgimento del gruppo è stato rilevato prima ancora dell’inizio dei Giochi e molti investigatori hanno infine attribuito l’incidente alla Russia.
La Russia è riuscita a creare una valida spiegazione alternativa per l’attacco, offrendo loro una misura di negabilità. Inoltre, nonostante questo attacco a un evento internazionale, hanno evitato una risposta da parte della comunità internazionale. È importante che il loro ruolo venga finalmente riconosciuto, perché la Russia ha finora scongiurato anche solo un’accusa ufficiale.
L’importanza di questi eventi, come le imminenti elezioni, non può essere sottovalutata. Questo è stato l’attore che ha preso di mira le elezioni del 2016, e un attacco a un evento internazionale di beneficenza non è un atto di pentimento. Se c’è stata una falsa impressione, che in seguito all’incidente del 2016, il gruppo russo abbia dato prova di controllo, questo incidente è la prova del contrario. Si è trattato di un atto di molestia internazionale tramite uno strumento che potrebbe essere nuovamente utilizzato in questo ciclo di elezioni presidenziali statunitensi.
MacronLeaks
Il coinvolgimento di questo attore nell’interferenza elettorale in Francia è particolarmente importante in quanto ci avviciniamo alla elezioni negli Stati Uniti. Un possibile scenario che stiamo prevedendo è un’operazione di hack and leak molto tardiva, come quella che è stata effettuata in Francia. Questo incidente ci ricorda che le operazioni drastiche sono possibili fino all’ultimo. Inoltre, le informazioni trapelate includevano materiali contraffatti, a riprova che gli attori possono mescolare materiali legittimi e rubati con articoli che hanno realizzato loro stessi.
