Le attività di spionaggio informatico russo hanno raggiunto un nuovo livello di sofisticazione con l'utilizzo di un malware precedentemente sconosciuto, soprannominato Authentic Antics, capace di sottrarre credenziali di accesso a Microsoft e infiltrarsi negli account compromessi. La scoperta, resa pubblica dal governo britannico, getta nuova luce sui metodi sempre più raffinati utilizzati dall'unità militare russa APT28, nota anche come Fancy Bear o Forest Blizzard, per condurre operazioni di intelligence digitale su scala internazionale.
Le sanzioni colpiscono il cuore dell'intelligence militare russa
Il governo britannico ha deciso di alzare il tiro nelle misure punitive contro Mosca, sanzionando tre unità operative del GRU (Direzione Principale dell'Intelligence dello Stato Maggiore russo): le unità 26165, 29155 e 74455, insieme a ventuno agenti individuali. Secondo le autorità di Londra, questi gruppi hanno orchestrato "una campagna prolungata di attività informatiche dannose durata molti anni", colpendo obiettivi strategici in tutto l'Occidente.
L'elenco dei funzionari sanzionati include nomi come Aleksandr Vladimirovich Osadchuk, Yevgeniy Mikhaylovich Serebriakov e Anatoliy Sergeyvich Kovalev, tra altri diciotto operativi accusati di aver partecipato a operazioni di cyberguerra e spionaggio digitale. Questi stessi gruppi sono stati collegati anche all'installazione del software spia X-Agent sui telefoni dell'ex agente doppio russo Sergei Skripal e sua figlia Yulia, prima del loro avvelenamento con Novichok nel 2018.
Un software invisibile che ruba identità digitali
Il malware Authentic Antics rappresenta un salto qualitativo nelle tecniche di infiltrazione informatica. Progettato specificamente per Windows e integrato nell'ambiente Outlook, il software dannoso utilizza una strategia di inganno particolarmente efficace: visualizza periodicamente finestre di login false che imitano perfettamente quelle autentiche di Microsoft.
Una volta che l'utente inserisce le proprie credenziali, il malware non si limita a rubare username e password, ma cattura anche i token di autenticazione OAuth, che garantiscono l'accesso completo ai servizi Microsoft come Exchange Online, SharePoint e OneDrive. La tecnica di esfiltrazione dei dati risulta particolarmente insidiosa: il software invia automaticamente email dall'account della vittima verso indirizzi controllati dagli aggressori, senza che questi messaggi compaiano nella cartella "Posta inviata".
Dal teatro di guerra ucraino agli obiettivi occidentali
L'evoluzione delle tattiche del GRU non si limita agli attacchi informatici tradizionali. Nel maggio scorso, il Centro Nazionale per la Sicurezza Informatica britannico, insieme all'Agenzia per la Sicurezza Nazionale americana e altre agenzie governative, aveva già lanciato l'allarme su una campagna di spionaggio che prendeva di mira "decine" di fornitori logistici, aziende tecnologiche e organizzazioni governative di paesi occidentali e NATO impegnati nel supporto all'Ucraina.
L'unità 26165 del GRU ha dimostrato la propria spietatezza nel 2022, quando ha condotto ricognizioni online per guidare attacchi missilistici contro Mariupol, incluso quello che ha distrutto il Teatro di Mariupol causando centinaia di vittime civili, tra cui bambini. Gli stessi operativi hanno utilizzato telecamere connesse a internet presso valichi di frontiera per tracciare le spedizioni di aiuti umanitari, in una campagna iniziata con l'invasione russa dell'Ucraina.
Una minaccia che non conosce confini
Paul Chichester, direttore operativo del Centro Nazionale per la Sicurezza Informatica britannico, ha sottolineato come "l'uso del malware Authentic Antics dimostri la persistenza e la sofisticazione della minaccia informatica rappresentata dal GRU russo". Le indagini condotte negli anni hanno rivelato che i difensori delle reti informatiche non possono sottovalutare questa minaccia e che il monitoraggio costante e le azioni protettive sono essenziali per la difesa dei sistemi.
La scoperta del malware risale in realtà a una violazione del 2023 investigata da Microsoft e NCC Group, ma solo ora il governo britannico ha formalmente attribuito la responsabilità dell'attacco al gruppo militare russo. In parallelo alle sanzioni britanniche, sia l'Unione Europea che la NATO hanno emesso dichiarazioni di condanna per le attività informatiche dannose della Russia, attribuendo ufficialmente le recenti intrusioni digitali e campagne di spionaggio al GRU.
.jpg)
