Ucraina: attacco hacker camuffato da documenti ufficiali

Gli attacchi informatici contro l'Ucraina continuano a intensificarsi, con cybercriminali che adottano tecniche sempre più sofisticate per compromettere i sistemi governativi del paese. In uno degli ultimi tentativi, un gruppo di hacker si è spacciato per il Servizio di Sicurezza dell'Ucraina (SSU) per diffondere malware su computer governativi.

Lunedì, il Computer Emergency Response Team dell'Ucraina (CERT-UA) ha rivelato che oltre 100 computer sono stati compromessi con il malware AnonVNC, utilizzato per ottenere accesso non autorizzato ai dispositivi colpiti. Gli hacker hanno inviato email di phishing a fine luglio, fingendo di essere ufficiali del SSU e chiedendo alle organizzazioni ucraine di inviare documenti all'indirizzo della Direzione Generale del SSU.

Le email contenevano un allegato, "Dokumenty.zip", che una volta aperto scaricava un file di installazione MSI da un sito web chiamato gbshost.net, utilizzato per installare il malware AnonVNC. In alcuni casi, il malware era addirittura firmato con un certificato che sembrava provenire da un'azienda cinese, la Shenzhen Variable Engine E-commerce Co Ltd, probabilmente per evitare di destare sospetti.

Identificato il gruppo di minacce

CERT-UA ha identificato il gruppo di minacce responsabile di questo attacco come UAC-0198, sottolineando che questo tipo di attacchi è stato rilevato almeno da luglio 2024 e potrebbe avere un impatto su una regione geografica più ampia rispetto a quanto finora individuato.

Questo non è un caso isolato: l'Ucraina è da tempo sotto costante attacco informatico. A gennaio, un attacco con il malware FrostyGoop, attribuito a un gruppo russo, ha interrotto il riscaldamento di oltre 600 edifici a Lviv per due giorni durante l'inverno. Ad aprile, CERT-UA ha denunciato che il gruppo russo Sandworm aveva preso di mira e violato 20 organizzazioni ucraine di infrastrutture critiche.

La guerra cibernetica tra Ucraina e Russia è sempre più accesa, con attacchi e contrattacchi che mirano a destabilizzare infrastrutture critiche e a compromettere la sicurezza nazionale. In questo contesto, il CERT-UA rimane in prima linea, monitorando e rispondendo a queste minacce per proteggere il paese.