Aggiornamenti recenti Maggio 28th, 2026 1:20 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Il 78% delle aziende ha già subito o sospetta incidenti legati all’IA
- SEO poisoning e chatbot AI dirottati per un malware miner
- Kaspersky: la GenAI mette alla prova il riconoscimento facciale
- Kaspersky: gli agenti IA cambiano la fiducia aziendale
- HackerOne taglia drasticamente le ricompense dei bug bounty
Spionaggio russo: scoperta una campagna attiva dal 2022
La CISA ha pubblicato un advisory di sicurezza dove descrive le attività di un gruppo cyber filo-russo che, a partire dal 2022, ha preso di mira compagnie tecnologiche e aziende del settore della logistica con una lunga e complessa campagna spionaggio.
L’obiettivo del gruppo non è soltanto di seguire le rotte degli aiuti diretti all’Ucraina, ma anche di causare interruzioni a queste attività, mettendo a rischio gli sforzi dei paesi europei e degli Stati Uniti.
Dietro la campagna c’è il gruppo APT28, noto anche come Fancy Bear, Forest Blizzard e Blue Delta, legato a un’unità militare russa. Le attività di spionaggio del gruppo russo hanno preso di mira numerose entità e organizzazioni internazionali dei settori della difesa, dei trasporti, marittimo, della gestione del traffico aereo e dei servizi IT. Tra i Paesi colpiti figura anche l’Italia.
Le attività di APT28 spiccano sia per complessità che per eterogeneità. Per l’accesso iniziale la cybergang ha usato numerose tecniche, tra le quali il brute force, lo spearphishing, spesso con annessa distribuzione di malware, e ha sfruttato le vulnerabilità di Outlook, Roundcube, WinRAR, delle VPN aziendali e di altre infrastrutture esposte.
Dopo la compromissione iniziale dei sistemi, gli attaccanti hanno sfruttato la loro posizione per individuare nuovi obiettivi, cercando in particolare i dipartimenti di cybersecurity delle organizzazioni e i singoli responsabili dietro le operazioni di trasporto. Per muoversi lateralmente, il gruppo ha usato tool quali Impacket e PsExec; per l’esfiltrazione dei dati, la scelta è ricaduta su Certipy e ADExplorer, fra gli altri.
Le informazioni raccolte dagli attaccanti contengono dettagli su mittenti e destinatari delle consegne, numeri identificativi di aerei, treni o navi, luogo di partenza e destinazione, identificativi dei container, percorsi e contenuto delle spedizioni. Il gruppo ha inoltre distribuito diverse varianti di malware noti, tra le quali le backdoor Headlace e Masepie.
Il gruppo ha inoltre compromesso diverse telecamere connesse situate lungo i confini ucraini, nelle stazioni militari e nelle stazioni ferroviarie per monitorare e tracciare tutti gli spostamenti e le consegne da parte degli alleati del Paese. In alcuni casi gli attaccanti si sono serviti anche delle telecamere per il monitoraggio del traffico cittadino.
L’advisory della CISA, rilasciato in collaborazione con organizzazioni quali l’FBI, l’NSA, l’ANSSI (l’agenzia per la cybersecurity francese), l’MIVD (il servizio di intelligence e sicurezza olandese) e il CCCS (Canadian Center for Cyber Security), include una serie di indicazioni per mitigare i rischi degli attacchi del gruppo, comprese quelle specifiche per le telecamere, e gli indicatori di compromissione.
Condividi l'articolo
M&S perde un terzo dei profitti a causa di un attacco informatico
I ruoli di default di AWS consentono compromissioni e movimento laterale
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Il 78% delle aziende ha già subito o sospetta incidenti... A leggere il nuovo “2026 Cloud Security Report”... -
Kaspersky: la GenAI mette alla prova il riconoscimento... Un volto reale può essere modificato dall’intelligenza... -
Kaspersky: gli agenti IA cambiano la fiducia aziendale Gli agenti di intelligenza artificiale sono ormai entrati... -
Un dipendente su otto considera accettabile vendere le... Il problema del dipendente “infedele” è vecchio quanto... -
Honeypot intelligenti: come gli agenti AI ingannano gli... Stanno arrivando, ma non nascono già pronti. Stiamo...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Il 78% delle aziende ha già subito o sospetta incidenti... A leggere il nuovo “2026 Cloud Security Report”...
-
SEO poisoning e chatbot AI dirottati per un malware miner Le campagne di SEO poisoning non sono certo una novità... -
HackerOne taglia drasticamente le ricompense dei bug bounty L’epoca d’oro dei bug bounty potrebbe stare entrando in... -
Attacco ai router Huawei dietro blackout telecom del... Un attacco informatico basato su una vulnerabilità... -
MSHTA, lo “zombie” di IE che alimenta attacchi su... Nonostante Internet Explorer sia ormai ufficialmente morto...
Ransomware: la serie
No posts found.