GUERRA IBRIDA

FoxBlade: la nuova cyber arma sul fronte Russia-Ucraina, ma il rischio è alto per tutti

I servizi di intelligence del settore cyber sono riusciti a rilevare poche ore prima che i carri armati e i missili della Russia iniziassero a colpire l’Ucraina un nuovo malware che mette in pericolo le strutture strategiche degli attori coinvolti. Ecco tutti i dettagli

02 Mar 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Mentre prosegue la battaglia sul campo tra Russia e Ucraina, si allarga anche il terreno di scontro nel cyberspazio: ieri, infatti, è stato pubblicato un post sul blog ufficiale Microsoft con il quale i ricercatori del Threat Intelligence Center (MSTIC) condividono l’allarme per la scoperta di nuovo malware denominato FoxBlade. Gli specialisti di Microsoft, in concerto con il governo ucraino, l’Unione Europea, il governo degli Stati Uniti, la NATO e le Nazioni Unite hanno lavorato insieme per salvaguardare gli utenti in Ucraina e rilevare questa scoperta, poche ore prima dell’invasione fisica nei territori ucraini da parte della Russia il 24 febbraio scorso.

Nel post si sottolinea anche la differenza rispetto a precedenti storici di rilevanza strategica: nello specifico, Microsoft ha osservato la tecnica di attacco mirata, cambiata rispetto agli attacchi di NotPetya, generalizzati e massivi, del 2017.

Il pericolo, come spesso accade in queste situazioni sensibili, non è rivolto ai soli obiettivi ucraini (target principale), ma essendo il cyberspazio non delimitato da confini nazionali netti e ben distinti, è facile prevedere che attacchi di questo tipo, in un momento storico di così diffusa emergenza, possano colpire anche aziende ed enti italiani ed europei che mantengono relazioni commerciali e diplomatiche con l’estero.

Come funziona il malware FoxBlade

Microsoft Security Intelligence elenca due componenti denominati FoxBlade, entrambi elencati come “gravi” e pubblicati la scorsa settimana:

  • FoxBlade.A, descritto come un trojan che potrebbe essere utilizzato per attacchi DDoS;
  • FoxBlade.B che è un downloader, presumibilmente utilizzato per installare il componente A.

Il rischio è che oltre a lanciare attacchi DDoS, FoxBlade possa scaricare e installare anche altri programmi, inclusi malware di ogni genere, su sistemi infetti ed effettuare attacchi di persistenza.

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza

Non sono stati diffusi dettagli tecnici sull’operatività di FoxBlade, ma la principale caratteristica, che ne accentua il rischio, lo sottolinea Nathan Einwechter, direttore della ricerca sulla sicurezza presso la società AI Vectra: “un’importante distinzione del malware FoxBlade è che è installato per consentire un attacco DDoS”. L’analista afferma, inoltre, che “qualsiasi individuo o organizzazione potrebbe essere un obiettivo da utilizzare per oscurare l’accesso a Internet in Ucraina o su altri obiettivi di interesse da parte della Russia”.

Le disposizioni emergenziali di Microsoft

Con l’occasione di questo intervento, Smith (presidente di Microsoft) ha affermato che, in conformità con una recente sentenza dell’UE, la piattaforma Microsoft Start (incluso MSN.com) non servirà più alcun contenuto per le emittenti RT e Sputnik sponsorizzate dallo stato russo: “stiamo rimuovendo le app di notizie RT dal nostro app store di Windows e declassando ulteriormente i risultati di ricerca di questi siti su Bing in modo che restituiscano collegamenti RT e Sputnik effettivamente solo quando un utente intende chiaramente navigare su quelle pagine”.

Alla fine, Microsoft ha rimosso tutti gli annunci RT e Sputnik dalla propria rete commerciale e non pubblicherà alcuna pubblicità dalla propria rete su questi siti. Secondo Smith, Microsoft sta collaborando agli sforzi di sostegno ai rifugiati con il Comitato internazionale della Croce Rossa (CICR) e varie agenzie delle Nazioni Unite.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4