Gli hacker usano l'ingegneria sociale per prendere di mira un esperto in operazioni russe
È stato scoperto un nuovo e sofisticato attacco informatico, che si ritiene provenga da un gruppo legato allo stato russo. Questo metodo innovativo induce gli utenti a creare e trasmettere password specifiche per le app (ASP), aggirando le comuni misure di sicurezza come l'autenticazione a più fattori ( MFA ).
Questo sofisticato attacco è stato rivelato congiuntamente dal Citizen Lab (un gruppo di ricerca dell'Università di Toronto) e dal Threat Intelligence Group (GTIG) di Google. La loro indagine è iniziata dopo che Keir Giles, noto esperto di operazioni di informazione russe e senior associate di Chatham House, ha contattato Citizen Lab per chiedere aiuto dopo essere stato preso di mira.
Questo nuovo attacco era diverso dal tipico phishing . Era lento e molto convincente. È iniziato il 22 maggio 2025, quando il signor Giles ha ricevuto un'email da qualcuno di nome Claudie S. Weber che fingeva di essere un funzionario del Dipartimento di Stato americano. L'email sembrava autentica, nonostante la presenza di altri indirizzi ufficiali nella riga "CC". Gli aggressori si sono presi il loro tempo, inviando oltre dieci email in diverse settimane per creare fiducia. Gli esperti ritengono che potrebbero aver utilizzato strumenti avanzati per rendere i loro messaggi molto naturali.
Il trucco principale era convincere il signor Giles a registrarsi su una piattaforma MS DoS Guest Tenant falsa. Gli hanno inviato un PDF dall'aspetto professionale con le istruzioni. Questo PDF lo ha guidato nella creazione di una password specifica per l'app (ASP) per il suo account Google.
Per vostra informazione, un ASP è un codice speciale di 16 cifre per le app più vecchie che non sono compatibili con i sistemi di sicurezza moderni. Gli hacker hanno fatto credere che questo ASP gli avrebbe permesso di accedere a un sistema governativo sicuro, ma in realtà ha dato loro il pieno controllo dei suoi account.
Il GTIG ha identificato il gruppo responsabile di questi attacchi come UNC6293. Ritengono, con una certa certezza, che UNC6293 sia collegato ad APT29 (noto anche come Cozy Bear ), un gruppo di spionaggio informatico legato al Servizio di Intelligence Estero russo (SVR). Google ha successivamente rilevato l'attacco agli account del signor Giles, ha adottato misure per proteggerli e ha disabilitato l'indirizzo email dell'aggressore.
Questo incidente evidenzia una crescente preoccupazione: con la crescente diffusione di standard di sicurezza come l'autenticazione a più fattori (MFA), gli aggressori stanno trovando nuovi modi per aggirarli. Gli esperti prevedono un aumento degli attacchi di ingegneria sociale che prendono di mira password specifiche per le app.
Si consiglia ora ai team di sicurezza informatica di prestare attenzione all'utilizzo degli ASPS nelle proprie organizzazioni e di informare gli utenti su questi nuovi rischi. Google sta già lavorando per eliminare gradualmente gli ASPS per gli utenti aziendali in Google Workspaces, ma cerca comunque di bilanciare la sicurezza con le esigenze degli utenti per gli account Gmail personali.
HackRead
