Italia bajo ataque cibernético, “#MattarellaDimettiti”, ¿los rusos de APT28 detrás de escena?

A las dos de la madrugada, miles de mensajes insultantes e invitaciones a dimitir de Sergio Mattarella, el hashtag utilizado "#MattarellaDimettiti ". El miedo a la injerencia rusa en los asuntos italianos ya se conocía durante las elecciones políticas pero la acción probada de ataques simultáneos apoya esta tesis / información de la inteligencia italiana. La policía postal, en el caso Mattarella, precisó que detrás de este uso masivo de la red social “twitter” puede haber operadores rusos experimentados especializados en “trolls”. La interferencia rusa en los asuntos nacionales ya se ha registrado durante la campaña electoral presidencial en Estados Unidos, Francia y Alemania. Una capacidad muy avanzada y omnipresente en el mundo cibernético. En Estados Unidos, por ejemplo, se descubrió, con la ayuda de las secciones operativas de Facebook y Twitter, que algunas agencias rusas "privadas" habían invertido cientos de miles de dólares en campañas de patrocinio a través de decenas de miles de cuentas "anómalas" o falsas. . Se descubrió que todas estas cuentas "falsas" lanzaron masivamente y de la noche a la mañana decenas de miles de "posts" con fines raciales y en todo caso favorables a las políticas lanzadas en la campaña electoral de Donald Trump.

¿Qué pasará con el remedio?

En Italia, tras el Copasir y la solicitud de aclaración que harán los distintos grupos parlamentarios al gobierno de turno, también corresponderá a los fiscales de Roma esclarecer los supuestos ataques web de los trolls rusos contra el presidente de la República, Sergio Mattarella. Un expediente de investigación se abrirá formalmente en los primeros días de la próxima semana y será coordinado por el grupo de jueces que se ocupan de la lucha contra el terrorismo y, en particular, de los delitos contra personalidades del Estado. Se espera un primer informe de la policía postal en piazzale Clodio. El perfil criminal con el que ingresar al expediente de investigación será evaluado por los magistrados luego del análisis de la información. Mientras tanto, Copasir también se ocupará de esta historia, con la audiencia del director de Dis, Alessandro Pansa. El senador del Partido Demócrata y miembro de Copasir, Ernesto Magorno, dijo que “obviamente es un asunto muy inquietante que merece todas las investigaciones necesarias. Esta historia nos hace aún más conscientes del hecho de que la ciberseguridad es un gran tema en el que concentrar esfuerzos y habilidades.

¿Está Italia, por tanto, bajo un ciberataque? 

Según informes de AGI, en base a lo que descubrieron los investigadores de Z-Lab, el centro anti-malware de Cse Cybsec, una empresa italiana de ciberseguridad, parece poder responder afirmativamente. Italia sería objeto de una campaña de espionaje e injerencia de un grupo ruso.

De hecho, los expertos en CSE han identificado una puerta trasera en las redes italianas, una 'puerta trasera', que se utiliza para eludir las defensas de los sistemas atacados, identificados como una nueva variante de la infame puerta trasera X-Agent. Utilizada para atacar los sistemas Windows, la puerta trasera, parte del arsenal de APT28, un grupo paramilitar ruso, permitiría que los datos se extraigan de las computadoras comprometidas y se envíen a un centro de comando y control ubicado en Asia.

La evidencia que lleva a los piratas informáticos rusos sería diferente: el idioma en el que está escrito el virus que porta la puerta trasera, el destino del tráfico que genera, el tipo de amenaza, X-Agent, desde hace tiempo en posesión de APT 28, grupo de hackers vinculado a la inteligencia militar rusa.

La investigación de CSE y la Marina italiana

La investigación del CSE, iniciada por una investigación de rutina sobre una muestra de software malicioso enviada a Virus Total, una plataforma de análisis de virus y malware en línea, permitió con la ayuda de un investigador conocido en Twitter como Drunk Binary compararlo con una serie de muestras e informarlas a las autoridades para una mayor investigación, en una relación acompañado de las llamadas "reglas de Yara", que se utilizan para identificar la acción en curso de cualquier malware. Pero los expertos también analizaron otro código malicioso, una DLL, una biblioteca dinámica de software, que se carga automáticamente cuando se realiza una tarea informática.

Aparentemente sin relación con los ejemplos anteriores, tiene muchas similitudes con otras armas cibernéticas propiedad del grupo ruso. En este caso, el malware contacta con un servidor de comando y control que lleva el nombre "marina-info.net" que, dice Pierluigi Paganini, tecnólogo jefe de CSE Cybsec, "si adoptamos la lógica de los atacantes parecería una referencia a la Marina italiana y nos invita a probar la hipótesis de que ese código malicioso fue desarrollado como parte de una serie de ataques dirigidos contra la Armada u otras entidades asociadas a ella, como sus proveedores ".

Los investigadores de CSE Cybsec no han podido vincular directamente el archivo DLL malicioso con las muestras de X-Agent, pero creen que ambas son partes de un ataque quirúrgico bien coordinado y potenciado por APT28 que Z-Lab ha llamado "Operation Vacations". Romane ”porque podría afectar a las organizaciones italianas en verano.

El grupo APT28 ha estado activo desde 2007 y se ha dirigido a gobiernos, fuerzas armadas y organizaciones de seguridad. Pero sobre todo, APT28 es uno de los grupos de hackers más famosos del mundo por estar involucrado en el robo de los correos electrónicos de Hillary Clinton que llevaron al FBI de James Comey a investigarlo poco antes de las elecciones presidenciales de Estados Unidos, allanando el camino para el candidato Donald Trump. .

APT28, acrónimo de Advanced Persistent Threath número 28, toma su nombre de la técnica utilizada: una 'Advanced Persistent Threat' es un tipo de ciberamenaza que una vez instalada en servidores y sistemas permanece allí para llevar a cabo su monitoreo y exfiltración de datos, generalmente con fines de espionaje.

El grupo bien organizado y financiado, también conocido como Sofacy, Fancy Bear, Pawn Storm, Sednit y Stronzio, había sido reportado operando por Palo Alto Networks y Kaspersky Lab en Asia y Medio Oriente en los últimos meses, dando la idea de alejarse de los objetivos habituales de la OTAN y Ucrania. Pero según la evidencia encontrada por el Z-Lab, quizás este ya no sea el caso.

Italia bajo ataque cibernético, “#MattarellaDimettiti”, ¿los rusos de APT28 detrás de escena?