CYBER MINACCE

Void Balaur: chi è e come agisce la gang criminale che da cinque anni spia tutto il mondo

Un’analisi approfondita di quello che sappiamo su Void Balaur e sul suo modus operandi. Una gang criminale specializzata nel cyber spionaggio che da più di cinque anni ruba dati e informazioni riservate in tutto il mondo

03 Dic 2021
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Si chiama Void Balaur il gruppo di cyber criminali che, secondo il rapporto dettagliato pubblicato dagli analisti di Trend Micro, hanno compromesso aziende e individui privati per più di cinque anni, rubando posta e informazioni riservate e vendendone i dati ai loro clienti sia per guadagno finanziario che per spyware politico.

In questo approfondimento cerchiamo di capire come il gruppo agisce e che storia ha alle spalle, partendo dalle origini e analizzando i collegamenti che ci fanno capire la loro evoluzione.

La storia della gang criminale Void Balaur

Secondo i ricercatori, dagli anni 2015-2016 il gruppo ha attaccato circa 3.500 obiettivi sparsi in tutto il mondo (come visibile dalla figura, l’Italia è presente), tra cui società informatiche, società di telecomunicazioni, attivisti, giornalisti e leader religiosi.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software

Allo stesso tempo, a differenza di altri gruppi mercenari, Void Balaur pubblicizza unicamente sui forum di hacker in lingua russa i suoi servizi. Ed è proprio da lì che procaccia i clienti, intrattenendo il primo contatto.

Inizialmente, gli esperti di Trend Micro consideravano Void Balaur un sottogruppo di APT28 (conosciuto anche come Fancy Bear, Sednit, Sofacy, Strontium e PwnStorm), che gli specialisti hanno a lungo associato al GRU (intelligence militare russa) e ai servizi speciali russi.

“In totale, abbiamo osservato circa 12 indirizzi e-mail presi di mira sia da PawnStorm (tra il 2014 e il 2015) che da Void Balaur (tra il 2020 e il 2021)”, scrivono i ricercatori.

Tuttavia, dopo un esame più attento del materiale raccolto, i ricercatori hanno concluso che potrebbe non esserci un collegamento con APT28. Ad esempio, alcuni degli attacchi riguardavano l’infrastruttura di RocketHack[.]me, un sito Web che pubblicizza servizi di hacking a noleggio. Questo stesso sito è apparso in numerose pubblicità sui forum di hacking in lingua russa come Probiv, Tenec e Darkmoney a partire dal 2017.

All’inizio, Void Balaur pubblicizzava, tra i suoi servizi, quelli per l’hacking di e-mail e account sui social network (Gmail, Protonmail, Mail.ru, Yandex, VKontakte, nonché caselle di posta aziendali, Telegram e così via). Ciò è coerente con il gran numero di siti di phishing e malware per il furto di informazioni che sono legati all’infrastruttura di questo gruppo.

“Per alcuni provider di posta russi, si propone di ottenere copie delle caselle postali senza alcuna interazione con l’utente. Non abbiamo motivo di dubitare che questa sia una vera proposta commerciale, poiché non abbiamo visto alcuna recensione negativa su Void Balaur nei forum analizzati. Non sappiamo come rubano i dati (come le e-mail) senza l’interazione dell’utente, ma ci sono scenari in cui ciò è possibile”, afferma il rapporto.

Il fatto che nel 2019 il gruppo abbia iniziato a pubblicizzare la vendita di dati personali e riservati di persone provenienti dalla Russia, inclusi dati su passaporti, patenti di guida, conversazioni telefoniche personali, immagini di telecamere stradali, informazioni sull’immatricolazione delle armi, ha portato gli esperti a cambiare le loro conclusioni sulla connessione tra Void Balaur e gli esperti di APT28, condanne penali, storia creditizia, dati del servizio fiscale e molto altro.

I ricercatori non sanno come gli hacker abbiano avuto accesso a così tanti dati sensibili, ma ipotizzano che tutto questo avrebbe potuto essere usato per coprire crimini ben più gravi.

“I dati delle telecomunicazioni venduti da Void Balaur includono registrazioni di telefonate con posizione dei ripetitori cellulari, che possono mostrare chi ha chiamato una persona, la durata della chiamata e la posizione approssimativa da dove è stata effettuata la chiamata.

Tali dettagli possono servire a diversi scopi, tra cui commettere reati gravi e bloccare numeri di telefono, appunto uno dei servizi offerto anche da Void Balaur. Ad esempio, puoi assicurarti che il telefono di qualcuno non sia disponibile quando viene commesso un crimine. Il costo della registrazione delle conversazioni telefoniche con e senza informazioni sui ripetitori cellulari varia notevolmente per i diversi provider russi [con differenze anche di circa dieci volte da uno all’altro]. Sembra che sia molto più facile ottenere tabulati telefonici da alcune società di telecomunicazioni che da altre”, osservano ancora i ricercatori di Trend Micro.

Obiettivi e collegamenti con il passato

Come accennato in precedenza, gli esperti hanno identificato più di 3.500 obiettivi che il gruppo ha attaccato negli ultimi anni. Molti di questi attacchi hanno preso di mira società di telecomunicazioni in Russia e negli Stati Uniti, ma il gruppo ha preso di mira anche individui privati, inclusi attivisti e giornalisti.

Ad esempio, si è scoperto che la serie di attacchi a giornalisti e difensori dei diritti umani in Uzbekistan nel 2016 e nel 2017, descritta nel rapporto eQualitie, era opera di Void Balaur, al tempo non ancora identificati.

Nel 2018, infatti venne identificata una vasta campagna che combina attacchi web e phishing contro media e attivisti. Si trovò le prime prove di attività di questo gruppo (al tempo ancora senza nome) nel febbraio 2016 e le prime prove di attacchi nel dicembre 2017.

L’elenco dei siti Web protetti da Deflect (la società di sicurezza sulla quale era basato il rapporto del 2019 di eQualitie) scelti da questa campagna può fornire un contesto alla motivazione dietro di essi. Vennero presi di mira quattro siti web:

  • Fergana News è uno dei principali siti Web indipendenti di notizie in lingua russa e uzbeka che copre i paesi dell’Asia centrale;
  • Eltuz è un media online uzbeko indipendente;
  • Centre1 è un’organizzazione mediatica indipendente che si occupa di notizie in Asia centrale;
  • Palestine Chronicle è un’organizzazione no-profit che si occupa di questioni relative ai diritti umani in Palestina.

Il gruppo era impegnato anche in altri obiettivi di tipo politico. Così, nel 2020, gli hacker hanno attaccato i candidati presidenziali in Bielorussia. Nell’agosto 2021, il gruppo ha preso di mira anche politici e funzionari governativi di Ucraina, Slovacchia, Russia, Kazakistan, Armenia, Norvegia, Francia e Italia.

È stato riferito che più di recente, nel settembre 2021, il gruppo ha anche tentato di accedere alle caselle email “dell’ex capo dell’agenzia di intelligence, di cinque attuali ministri (incluso il ministro della Difesa) e di due membri del parlamento nazionale di uno stato dell’Europa orientale”.

Ma, oltre ai politici, anche le aziende private sono diventate bersagli di Void Balaur. Ad esempio, un rapporto di esperti afferma che il gruppo ha preso di mira membri del consiglio di amministrazione, dirigenti e capi di una delle più grandi società in Russia (il nome non è stato divulgato). I criminali sono arrivati al punto di poter attaccare anche i familiari del proprietario dell’azienda, un miliardario russo non noto. Questa campagna è durata quasi un anno, da settembre 2020 ad agosto 2021.

Va inoltre sottolineato che dal 2018 Void Balaur gestisce diversi siti di phishing che sembrano prendere di mira gli utenti di criptovaluta. Non è chiaro se questi siti siano stati creati su iniziativa del team o se siano il risultato di un lavoro su commissione per uno dei clienti del gruppo.

Sulla base delle informazioni raccolte da Trend Micro, Void Balaur vende dati personali a chiunque sia disposto a pagare. Questi mercenari semplicemente non si preoccupano di cosa fanno i loro clienti con le informazioni che acquisiscono.

L’analisi di questo rapporto, a parte averci fatto ricostruire la storia di questo genere di attacchi (verso persone e società sensibili per la politica e la cultura di un Paese) degli ultimi anni, prima d’ora senza un volto, ci fa capire l’importanza di seguire le tracce che i cyber criminali lasciano disseminate nel Web.

Quasi la totalità del rapporto è infatti basato sullo studio (incrociato con dati e altri rapporti storici precedenti) delle loro discussioni sui forum nei quali comunicano e si “incontrano” o incontrano i futuri clienti.

Sottolineiamo questo aspetto, in quanto molto attuale per ciò che sta accadendo con la vicenda dei Green Pass falsi, non ancora risolta o giunta al termine, ma tutt’oggi ancora in evoluzione, interamente svoltasi sui forum (con ramificazioni che si pensa arrivino fino al famoso xGroup), dalla quale analisi è facile raccogliere materiali ed elementi utili a tentare di tracciarne un profilo.

WHITEPAPER
Costruire una VERA DATA STRATEGY: machine learning, sicurezza e valorizzazione del dato.
Amministrazione/Finanza/Controllo
Big Data
@RIPRODUZIONE RISERVATA

Articolo 1 di 2