Aggiornamenti recenti Febbraio 27th, 2026 3:15 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Paradosso ransomware, pagamenti in calo ma attacchi ai massimi storici
- Google API Keys: le chiavi pubbliche diventano credenziali sensibili
- Claude Code Security crea il panico, ma… non uccide la cyber
- Sandworm_Mode: il “worm” della supply chain NPM
- Ring: una taglia a 4 zeri per forzare l’esecuzione in locale
Spionaggio russo: scoperta una campagna attiva dal 2022
La CISA ha pubblicato un advisory di sicurezza dove descrive le attività di un gruppo cyber filo-russo che, a partire dal 2022, ha preso di mira compagnie tecnologiche e aziende del settore della logistica con una lunga e complessa campagna spionaggio.
L’obiettivo del gruppo non è soltanto di seguire le rotte degli aiuti diretti all’Ucraina, ma anche di causare interruzioni a queste attività, mettendo a rischio gli sforzi dei paesi europei e degli Stati Uniti.
Dietro la campagna c’è il gruppo APT28, noto anche come Fancy Bear, Forest Blizzard e Blue Delta, legato a un’unità militare russa. Le attività di spionaggio del gruppo russo hanno preso di mira numerose entità e organizzazioni internazionali dei settori della difesa, dei trasporti, marittimo, della gestione del traffico aereo e dei servizi IT. Tra i Paesi colpiti figura anche l’Italia.
Le attività di APT28 spiccano sia per complessità che per eterogeneità. Per l’accesso iniziale la cybergang ha usato numerose tecniche, tra le quali il brute force, lo spearphishing, spesso con annessa distribuzione di malware, e ha sfruttato le vulnerabilità di Outlook, Roundcube, WinRAR, delle VPN aziendali e di altre infrastrutture esposte.
Dopo la compromissione iniziale dei sistemi, gli attaccanti hanno sfruttato la loro posizione per individuare nuovi obiettivi, cercando in particolare i dipartimenti di cybersecurity delle organizzazioni e i singoli responsabili dietro le operazioni di trasporto. Per muoversi lateralmente, il gruppo ha usato tool quali Impacket e PsExec; per l’esfiltrazione dei dati, la scelta è ricaduta su Certipy e ADExplorer, fra gli altri.
Le informazioni raccolte dagli attaccanti contengono dettagli su mittenti e destinatari delle consegne, numeri identificativi di aerei, treni o navi, luogo di partenza e destinazione, identificativi dei container, percorsi e contenuto delle spedizioni. Il gruppo ha inoltre distribuito diverse varianti di malware noti, tra le quali le backdoor Headlace e Masepie.
Il gruppo ha inoltre compromesso diverse telecamere connesse situate lungo i confini ucraini, nelle stazioni militari e nelle stazioni ferroviarie per monitorare e tracciare tutti gli spostamenti e le consegne da parte degli alleati del Paese. In alcuni casi gli attaccanti si sono serviti anche delle telecamere per il monitoraggio del traffico cittadino.
L’advisory della CISA, rilasciato in collaborazione con organizzazioni quali l’FBI, l’NSA, l’ANSSI (l’agenzia per la cybersecurity francese), l’MIVD (il servizio di intelligence e sicurezza olandese) e il CCCS (Canadian Center for Cyber Security), include una serie di indicazioni per mitigare i rischi degli attacchi del gruppo, comprese quelle specifiche per le telecamere, e gli indicatori di compromissione.
Condividi l'articolo
M&S perde un terzo dei profitti a causa di un attacco informatico
I ruoli di default di AWS consentono compromissioni e movimento laterale
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Paradosso ransomware, pagamenti in calo ma attacchi ai... Il ransomware continua a evolvere come una delle minacce... -
Google API Keys: le chiavi pubbliche diventano credenziali... L’introduzione di funzionalità di intelligenza... -
Finanza nel mirino, incidenti raddoppiati nel 2025 Il settore finanziario sta vivendo una fase di forte... -
Davvero si può fare “jailbreak” di un caccia F-35? Durante un’intervista in un podcast, il segretario di... -
TrendAI: il 2026 sarà l’anno... L’intelligenza artificiale automatizzerà...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Paradosso ransomware, pagamenti in calo ma attacchi ai... Il ransomware continua a evolvere come una delle minacce...
-
Google API Keys: le chiavi pubbliche diventano credenziali... L’introduzione di funzionalità di intelligenza...
-
Claude Code Security crea il panico, ma… non uccide la... Venerdì scorso Anthropic ha presentato Claude Code... -
Sandworm_Mode: il “worm” della supply chain NPM Un attacco che riprende la logica Shai-Hulud, ma sposta... -
Ring: una taglia a 4 zeri per forzare l’esecuzione in... Per chi vuole spezzare il legame tra le videocamere Ring...
Ransomware: la serie
No posts found.