L’Estonia accusa formalmente la Russia per gli attacchi cyber subiti nel 2020

Lo scorso 5 settembre, il Ministero degli Affari Esteri dell’Estonia ha rilasciato un comunicato relativo all’attribuzione di attacchi cyber subiti nel 2020 da tre ministeri. Lo stesso dicastero sottolinea l’eccezionalità del caso, essendo questa la prima volta che Tallin attribuisce ufficialmente la responsabilità di cyberattacchi ad uno Stato.

L’intelligence estone ha fornito supporto anche a un’indagine più vasta, condotta dalle agenzie governative statunitensi. I documenti rilasciati dalle autorità dei due Paesi forniscono un quadro delle attività malevole associate agli avversari russi e, soprattutto, nomi e ruoli di alcuni presunti responsabili.

Nel dettaglio, l’Estonia ha identificato tre ufficiali della Unit 29155, una sezione del GRU, la Direzione generale per le informazioni militari delle Forze Armate russe, che negli ultimi tempi si sarebbe dedicata anche ad offensive cibernetiche, grazie all’apporto dell’APT Lorec53 (Cadet Blizzard).

Unit 29155 è indicata come la responsabile di un tentativo di colpo di Stato, di operazioni di sabotaggio e diversione e di tentativi di omicidio in Europa. I nomi dei tre individui sono stati rivelati in un comunicato dell’Ufficio del Procuratore estone, pubblicato online nello stesso torno di ore del precedente. Si tratterebbe di Yuri Denisov, Nikolay Korchagin e Vitali Shevchenko, nei cui confronti è stato disposto un mandato di arresto internazionale in contumacia.

Il ministro degli Esteri, Margus Tsahkna, avrebbe dichiarato che l’intento della Russia è stato di danneggiare i sistemi informatici nazionali estoni, ottenere informazioni sensibili e colpire il senso di sicurezza nazionale. Un secondo obiettivo sarebbe stata l’Ucraina, presa di mira sia nel comparto cinetico che in quello cyber.

Gli esiti dell’investigazione americana sono stati rilasciati dal Dipartimento di Giustizia (DOJ), in un comunicato relativo ad azioni giudiziarie contro sei individui residenti e cittadini della Federazione Russa, ritenuti responsabili di intrusione informatica e frode telematica.

Le accuse sono a carico delle seguenti persone: il già citato Yuriy Denisov, colonnello dell’esercito russo e comandante delle operazioni informatiche dell’unità 29155; quattro tenenti dell’esercito di Mosca assegnati alla Unit 29155 che rispondono ai nomi di Vladislav Borovkov, Denis Denisenko, Dmitriy Goloshubov e Nikolay Korchagin; il civile Amin Sitgal.

Gli indagati – sui quali pende una taglia milionaria – avrebbero mirato con la tecnica “hack and leak” a sistemi localizzati negli Stati Uniti e in altri venticinque Paesi della NATO. Inoltre, avrebbero distrutto sistemi associati al governo di Kiev. 

Le autorità americane collegano queste ultime operazioni distruttive alle campagne wiper basate su WhisperGate, segnalate ad inizio 2022 contro numerose reti governative ucraine, fra cui quelle del Ministero degli Affari Interni, del Ministero dell’energia, e del Servizio di emergenza statale.

Il DOJ sostiene che, dal 5 agosto 2021 al 3 febbraio 2022, gli imputati hanno sfruttato la stessa infrastruttura utilizzata negli attacchi correlati all’Ucraina per mirare ai computer appartenenti a un’agenzia del governo federale nel Maryland, con le stesse tecniche sfruttate inizialmente contro le reti del governo ucraino. A partire dall’agosto 2021, avrebbero preso di mira una serie di sistemi informatici protetti, compresi quelli associati a ventisei Paesi della NATO, alla ricerca di potenziali vulnerabilità. Infine, nell’agosto 2022, avrebbero compromesso l’infrastruttura dei trasporti di un Paese dell’Europa centrale che supportava l’Ucraina.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence