Un software malevolo, battezzato “LostKeys”, emerge come strumento nelle attività di cyber spionaggio. Google attribuisce l’impiego di LostKeys, a partire dai primi mesi dell’anno, al gruppo COLDRIVER, entità sostenuta dalla Russia e nota per le sue operazioni di cyber spionaggio. Bersagli di queste operazioni includono governi di nazioni occidentali, professionisti del giornalismo, centri di ricerca e organizzazioni non governative.
Il gruppo COLDRIVER possiede una storia già nota alle cronache della sicurezza informatica. Già nel dicembre scorso, il Regno Unito, con il supporto dei suoi partner nell’alleanza di intelligence “Five Eyes”, aveva indicato chiaramente responsabilità del gruppo. Esiste un collegamento diretto tra COLDRIVER e il Servizio Federale di Sicurezza della Federazione Russa (FSB), l’agenzia principale della Russia per il controspionaggio e la sicurezza interna.
Come funziona LostKeys e le operazioni “ClickFix”
Il Threat Intelligence Group (GTIG) di Google ha rilevato LostKeys per la prima volta nel mese di gennaio. Appare evidente che COLDRIVER abbia fatto uso del malware in operazioni denominate “ClickFix”, caratterizzate da una elevata precisione nel colpire i bersagli. Le operazioni consistono in inganni digitali che spingono gli utenti all’esecuzione di script PowerShell non autorizzati, sfruttando tecniche consolidate di ingegneria sociale.
L’esecuzione degli script menzionati prepara il terreno per il download e l’attivazione di altro codice malevolo basato su PowerShell. Scopo primario di queste azioni è l’installazione di LostKeys, che Google classifica come un software per il furto di dati scritto in Visual Basic Script (VBS). Dal rapporto del GTIG emerge come LostKeys funzioni da “aspiratore digitale”, capace di estrarre file e intere directory specifiche, trasmettendo parallelamente informazioni sul sistema compromesso ed eseguendo comandi impartiti dagli attaccanti.
Le tattiche di COLDRIVER e i collegamenti con altri gruppi
Le procedure operative tipiche di COLDRIVER includono la sottrazione di credenziali di accesso, finalizzata al furto di email e liste di contatti. È noto inoltre l’impiego da parte del gruppo di un altro malware, SPICA, per l’acquisizione di documenti e file. Il malware sembra perseguire finalità analoghe, ma il suo utilizzo è riservato a “casi altamente selettivi”, indicazione di uno strumento con un grado di specializzazione maggiore all’interno dell’arsenale di spionaggio di COLDRIVER.
Risulta degno di nota che COLDRIVER non sia l’unica formazione supportata da stati nazionali a fare ricorso a tattiche di tipo “ClickFix”. Anche attori del panorama cybercriminale sembrano apprezzare questa metodologia, con gruppi associati alla Corea del Nord (Kimsuky), all’Iran (MuddyWater) e altri operatori russi (APT28 e UNK_RemoteRogue) che hanno impiegato tecniche simili in recenti campagne di spionaggio.
L’evoluzione di COLDRIVER e le sanzioni internazionali
COLDRIVER opera anche sotto altre denominazioni, tra cui Star Blizzard e Callisto Group. Il gruppo ha perfezionato le proprie abilità nell’ingegneria sociale e nell’utilizzo di informazioni da fonti aperte (OSINT) per trarre in inganno i propri obiettivi, attività documentata almeno dal 2017. Gli obiettivi spaziano da organizzazioni governative e del settore difesa a organizzazioni non governative e figure politiche.
Le offensive del gruppo hanno registrato un incremento, in particolare a seguito dell’invasione russa dell’Ucraina, arrivando a colpire siti dell’industria della difesa e strutture del Dipartimento dell’Energia degli Stati Uniti. Il Dipartimento di Stato americano ha reagito imponendo sanzioni a due agenti riconducibili a COLDRIVER, uno dei quali risulterebbe essere un operativo dell’FSB. Le autorità degli Stati Uniti offrono al momento una ricompensa di 10 milioni di dollari per informazioni utili alla localizzazione di altri membri del gruppo, a dimostrazione del livello di attenzione che Washington riserva a questa minaccia.
