Dopo l'inaspettato ritorno del ransomware REvil scoperto solo poche ore fa, oggi emergono degli interessanti dettagli su una campagna di phishing condotta da Mosca contro le principali istituzioni diplomatiche e governative mondiali fin da prima dell'invasione dell'Ucraina dello scorso febbraio.

A portare a galla l'azione di spionaggio del governo russo sono un'analisi dell'agenzia di sicurezza Mandiant e, in contemporanea, un report di Microsoft, che ha catalogato la campagna phishing come uno dei 200 attacchi cyber di Mosca portati avanti in stretta correlazione con l'invasione dell'Ucraina o in preparazione di quest'ultima.

Mandiant, in particolare, spiega che la campagna phishing sarebbe stata condotta fin dal 17 gennaio da un gruppo noto come APT29, o Cozy Bear, in stretta collaborazione con il Cremlino, ed avrebbe colpito entità diplomatiche e politiche in tutto il mondo, focalizzandosi soprattutto sull'"ottenimento di informazioni sulla diplomazia e la politica estera dei Governi di tutto il pianeta".

Le modalità della campagna sarebbero state in realtà piuttosto tradizionali, con mail malevole nascoste da comunicazioni amministrative per i dipendenti di consolati ed ambasciate sparsi per il mondo. Inoltre, gli hacker avrebbero inviato tali mail da indirizzi ufficiali ma compromessi, in modo da dare maggiore autorevolezza alle proprie comunicazioni.

Le mail contenevano poi un allegato HTML contenente il malware ROOTSAW, che una volta aperto eseguiva il downloader BEATDROP, che ha lo scopo di ottenere nuovi virus con cui infettare il PC colpito e la sua rete, ottenendo anche i permessi di command and control da remoto del dispositivo.

Al contempo, Microsoft ha spiegato che lo stesso gruppo di hacker ha cercato di infiltrarsi nelle strutture informatiche della NATO e di alcuni suoi Stati membri, sempre utilizzando le credenziali associate agli indirizzi email istituzionali di consolati e ambasciate compromessi.