Il 28 maggio scorso il Dipartimento della Giustizia Usa ha autorizzato l’arresto di due hacker collegati all’organizzazione privata russa SolarWinds. I due hanno preso il controllo di due domini su internet dai quali hanno avviato una campagna massiccia di pishing. L’attacco informatico su larga scala è stato rilevato il 25 maggio, 3.000 e-mail sono state inviate da un account dell’Agenzia degli Stati Uniti per lo sviluppo internazionale (USAID). L’account compromesso, associato ai servizi di una società di marketing chiamata Constant Contact, è stato utilizzato per inviare e-mail di phishing ai dipendenti di oltre 150 organizzazioni in tutto il mondo, la maggior parte delle quali americane.
Le e-mail di phishing presentavano un logo ufficiale USAID, sotto il quale era incorporato un collegamento a un presunto “Avviso speciale USAID” intitolato “Donald Trump ha pubblicato nuovi documenti sulla frode elettorale“. Il collegamento ha poi indirizzato gli utenti ad uno dei due sottodomini illeciti, infettando così le macchine delle vittime con un apposito malware che a sua volta ha creato una backdoor che ha così consentito agli hacker di entrare in possesso di tutti i contenuti dei computer compromessi.
Secondo Microsoft Corporation, gli hacker dietro l’attacco di phishing provenivano dallo stesso gruppo che ha orchestrato il famigerato attacco hacker nel 2020, il SolarWinds. Il termine si riferisce a una violazione su larga scala dei sistemi informatici appartenenti al governo federale degli Stati Uniti e a organizzazioni come il Unione Europea e alla Nato. L’attore principale di quell’attacco è stato indicato dagli esperti di sicurezza informatica come APT29 o Nobelium.