Agli esperti di cyber security la storia della telefonata tra la nostra premier Meloni e il duo comico russo ha fatto alzare le antenne.
Dietro c’è tanto della classica sapienza da social engineering che i criminali, ma anche gli Stati-nazione, adoperano nello spazio cyber per ottenere informazioni riservate. Siano questi dati bancari o segreti industriali. Ma ci sono anche i classici errori che le aziende fanno in questo mondo, a favore dei cyber criminali.
Non stupisce quindi, come segnalato da Enrico Frumento di Cefriel, che il duo russo sia catalogato da mesi come una minaccia da Proofpoint, storica società di sicurezza informatica.
Indice degli argomenti
Meloni e il duo russo: una storia di protocolli violati
“Quella della telefonata tra Meloni e i russi è la classica storia che c’è dietro molti data breach: qualcuno ha fatto regole, policy sensate di sicurezza, che puntualmente però non sono state rispettate”, spiega Alessio Pennasilico, noto nome della cyber in Italia, membro del consiglio direttivo del Clusit.
Come riassume Repubblica, tutto è partito da una mail dei presunti rappresentati di Stato africani. “Letta la mail, nell’ufficio diplomatico del consigliere Francesco Talò, viene avviata la pratica. Mercoledì fonti di Chigi giuravano che i controlli previsti dal protocollo fossero stati effettuati – la verifica del numero telefonico e tutti i passaggi per verificare la bontà del contatto – ma in realtà poco o quasi niente viene effettuato. E non soltanto per sciatteria. Arrivando la richiesta, e la sollecitazione, direttamente dalla segreteria della premier erano tutti certi che non ci fosse bisogno di un secondo controllo. Viene così preso un appuntamento. E arriva la telefonata”.
La frase chiave: “erano tutti certi che non ci fosse bisogno di un secondo controllo”. E’ fallito un controllo, c’è stata una errata certezza che ha portato a fallire anche il secondo controllo di sicurezza.
La minaccia del duo russo
Non si sa – come temono alcuni e come ventilato dalla stessa Meloni in conferenza stampa – davvero il duo russo è legato al Cremlino; se ha avuto il supporto dei servizi segreti russi, per conoscere le procedure di sicurezza italiane, sapere come violarle, avere accesso ai contatti giusti. Certo è bene informato. E Proofpoint scrive così: “il gruppo di minacce TA499, allineato alla Russia, sta prendendo di mira in modo aggressivo funzionari governativi di alto profilo, amministratori delegati di aziende importanti e celebrità nei Paesi del Nord America e dell’Europa. Si ritiene che il gruppo sia composto da due membri, Vovan (alias Vladimir Kuznetsov) e Lexus (alias Alexei Stolyarov), che utilizzano principalmente videochiamate false per adescare le vittime”.
Attivo dall’inizio del 2021, il gruppo ha improvvisamente aumentato le sue attività alla fine di febbraio del 2022 dopo l’invasione russa dell’Ucraina, hanno rivelato i ricercatori di Proofpoint.
Da quel momento, ha gradualmente ampliato la portata dei suoi attacchi per colpire individui di alto profilo che fanno donazioni all’Ucraina o che rilasciano dichiarazioni contro la cosiddetta propaganda di disinformazione russa.
Tra gli obiettivi di alto profilo ci sono i sindaci di diverse città, come Vienna, Varsavia, Budapest, Berlino e Madrid. In passato, gli aggressori hanno preso di mira, tra gli altri, le celebrità JK Rowling ed Elton John.
L’attacco inizia con un’e-mail o una telefonata, mascherata da figure politiche di spicco, come il primo ministro ucraino Denys Shmyhal o il deputato del popolo ucraino Oleksandr Merezhko.
I campioni di e-mail osservati nel marzo 2022, fingono di provenire dall’Ambasciata dell’Ucraina negli Stati Uniti o dall’Ambasciata dell’Ucraina negli Stati Uniti, richiedendo alcune informazioni o esortando le vittime prese di mira a contattare ulteriormente tramite telefono o videochiamate.
A metà del 2022, oltre alle esche a tema ambasciata, gli attori delle minacce hanno utilizzato il dominio a tema Agenzia internazionale per l’energia atomica per inviare e-mail. Verso la fine del 2022, hanno finto di essere Oleksandr Merezhko, deputato ucraino e vicepresidente dell’Assemblea parlamentare del Consiglio d’Europa, e il capo dello staff Leonid Volkov.
Le registrazioni delle telefonate sono state poi diffuse al pubblico tramite YouTube e RuTube nel tentativo di ottenere la simpatia e il sostegno del pubblico per il regime russo e le sue azioni.
Alcuni ricercatori suggeriscono che TA499 abbia utilizzato una tecnologia avanzata di deepfake per creare registrazioni false, mentre il rapporto di Proofpoint indica che il gruppo ha utilizzato solo personaggi sosia. Proofpoint pensa comunque che il gruppo potrebbe presto usare l’intelligenza artificiale per creare esche di social engineering più convincenti. “Si raccomanda a tutti gli obiettivi di alto profilo di procedere con cautela quando vengono avvicinati improvvisamente per interviste o videochiamate”.
Quale lezione per la cyber security
Una storia che ricorda molti attacchi subiti da aziende. “Il problema: conosciamo rischi, scriviamo policy ma poi non facciamo in modo che le persone le rispettino”, spiega Pennasilico.
“L’errore tipico è pensare che basti scrivere policy di sicurezza. Bisogna poi anche rendere note le procedure, formare le persone, motivarle a rispettare le regole spiegandone significato e importanza. Tutti sono bravi a scrivere le regole e magari anche comunicarla meccanicamente; è raro che la spieghino bene, per consentire così a tutte le persone di un’organizzazione di sviluppare i corretti anticorpi alla minaccia del social engineering”, aggiunge Pennasilico.
Le organizzazioni: aziende o Stati, poco cambia, di fronte a una minaccia che utilizza queste tecniche. La cybersicurezza e la sicurezza nazionale si trovano ancora una volta vicine, in questa partita.
Come spiega Proofpoint, l’uso di deepfake AI è il prossimo passo; “in realtà già ne vediamo un uso in tempo reale da parte di cyber criminali”, spiega Pennasilico.
Forse nella prossima telefonata i comici parleranno in un perfetto inglese – grazie a sistemi come HeyGen AI video translator in tempo reale. Invece che in un improbabile, forte accento russo.