Il Male assoluto della Violenza, della Guerra, della Sopraffazione dell’uomo sull’uomo si è riaffacciato nuovamente in Europa, o meglio non si è mai allontanato da questa, come molti ingenuamente ritenevano sotto la confortante coperta della UE: hanno forse tutti dimenticato Budapest (1956), Praga (1968), le guerre nei Balcani (1991-1999, dalla Croazia fino al Kosovo), e la mai sopita “guerra del Donbass” (2014 con la annessione unilaterale della Crimea da parte della Russia, quasi esatta ripetizione di quanto portò alla Guerra di Crimea del 1853-1856), all’origine dei nuovi orrori dei giorni odierni.
Non possiamo quindi stupirci che ancora esista una spaccatura del mondo (ideologica più che economica) che discende ancora da Jalta (guarda il caso in Crimea, 1945), tra regimi (democratici e no) eredi della struttura governativa, territoriale o anche solo ideologica dei protagonisti dell’epoca. E di “blocchi contrapposti” si è sempre quindi trattato, anche se sotto le ceneri create dalla Globalizzazione che ha fatto “tutti uguali” solo davanti al WTO.
Non ci si è mai meravigliati tanto quindi che gli APT parlassero russo o mandarino. I russofoni, in particolare, sono sempre stati considerati gli hacker “proverbiali”. Forse li si riteneva monolitici, ma in realtà non lo sono mai stati; e i fatti di questi giorni stanno a dimostrarlo, cambiando, radicalizzando, precipitando le alchimie di questi gruppi di minacce.
Secondo un rapporto di Cyber Threat Inteligence di Accenture (ACTI, “UPDATED-ACTI-Global-Incident-Report-Ideological-Divide-Blog-14MARCH22.pdf”) le questioni ideologiche stanno prendendo il sopravvento sulla struttura e le motivazioni delle crew delle minacce cyber, creando spaccature e affiliazioni.
Chi è filo-ucraino si rifiuta di fare affari o semplicemente collaborare con quelli filo-russi, dispiegando le loro forze contro obiettivi russi; chi è filo-russo (es. membri dei collettivi Conti Team, LockBit, CoomingProject), ovviamente, si schiera dalla parte opposta, in più con comportamenti tipici dell’hacktivismo (che non gli erano propri) contro obiettivi anche occidentali (“nemici della Russia”).
Che i forum di minaccia cyber più importanti al mondo parlassero russo non è mai stato un mistero: il linguaggio comune, l’allineamento culturale e anche politico hanno
Mentre il mondo dell’hacking underground si riposiziona nel campo delle minacce persistenti per via di spinte nazionaliste che soffiano su di loro a seguito degli accadimenti ucraini e ne infiammano strategie e motivazioni, altre minacce non mutano la loro presenza e aggressività.
È il caso della botnet Qakbot, il trojan bancario visto per la prima volta nel 2007 e divenuto ben presto uno dei più diffusi. Oggi, se possibile, ha aumentato la sua pericolosità, prendendo questa volta di mira thread di posta elettronica per distribuire DLL dannose con lo scopo di potenziare la botnet principale con i nuovi zombie aggiunti.
Questa volta l’attacco, analizzato dai ricercatori di Sophos, parte dal dirottamento dei messaggi di una discussione di posta elettronica grazie ad errate risposte alla stessa, messaggi dannosi che includono una breve frase e un collegamento (nella ultima campagna l’URL presentava frasi latine, considerato così un IoC della minaccia) per scaricare un file zip contenente un foglio di calcolo Excel dannoso. Il messaggio è lì per stimolare la vittima ad “abilitare il contenuto”, in quanto, è situazione comune, altrimenti le macro nel foglio di calcolo non verrebbero attivate. Ma come sappiamo, quello che non dovrebbe essere fatto verrà fatto.
Così inizia la catena delle infezioni, ed il primo payload inizia a raccogliere da subito una ampia gamma di informazioni sul profilo delle macchine infette, compreso account utente e autorizzazioni, software istallati, servizi in esecuzione e altro.
Finito il gathering, sempre il payload scarica dalle C2, per accrescere la potenza di fuoco, altri moduli malevoli (almeno tre). Questi vengono iniettati nel browser come DLL per differenti finalità: uno per il furto delle password nelle pagine del web, uno per la scansione della rete (e raccogliere informazioni sulle macchine nel perimetro), e l’ultimo per identificare i server di posta elettronica SMTP e provarne la connessione, con il conseguente invio di spam.
La struttura Qakbot è stata sempre modulare, e, sul cuore principale dedito al furto di credenziali e altre informazioni, da sempre ha acquisito tante altre funzionalità: spiare operazioni finanziarie, diffondere e