Microsoft ha di recente annunciato di aver osservato cyberattacchi da parte di Nobelium che hanno preso di mira agenzie governative, think tank, consulenti e organizzazioni non governative.
Questa ondata di attacchi ha avuto come target circa 3.000 account di posta elettronica in più di 150 organizzazioni diverse, ha dichiarato sul blog dell’azienda Tom Burt, Corporate Vice President, Customer Security & Trust di Microsoft.
Se da un lato le organizzazioni negli Stati Uniti sono state vittime della maggior parte degli attacchi, complessivamente quelle prese di mira si estendono ad almeno 24 Paesi.
Almeno un quarto delle organizzazioni prese di mira, ha messo ancora in evidenza Microsoft, erano coinvolte in attività di sviluppo internazionale, umanitarie e sui diritti umani.
Secondo Microsoft, Nobelium è un player di cyberminacce proveniente dalla Russia e lo stesso dietro gli attacchi ai clienti SolarWinds nel 2020 (la Russia ha però negato ogni responsabilità).
Questi attacchi per Microsoft sembrano essere una continuazione dei molteplici sforzi di Nobelium per colpire le agenzie governative coinvolte nella politica estera come parte dei tentativi di raccogliere informazioni.
Nobelium avrebbe lanciato gli attacchi della settimana scorsa ottenendo l’accesso all’account Constant Contact di USAID, ha specificato Microsoft.
Constant Contact è un servizio utilizzato per l’email marketing. Da lì, il cyberattacker è stato in grado di distribuire e-mail di phishing che sembravano autentiche ma includevano un link che, quando cliccato, inseriva un file dannoso utilizzato per distribuire una backdoor nota come NativeZone.
Questa backdoor potrebbe consentire una vasta gamma di attività, dal furto di dati all’infezione di altri computer in una rete.
Molti degli attacchi rivolti ai clienti Microsoft sono stati bloccati automaticamente e Windows Defender sta bloccando il malware coinvolto in questo attacco, ha affermato la società di Redmond. Microsoft è anche in procinto di notificare tutti i suoi clienti che sono stati presi di mira.
Rilevare questo attacco e identificare le vittime è stato possibile grazie al lavoro (ancora in corso) svolto dal team Microsoft Threat Intelligence Center (MSTIC).
Questi attacchi, secondo Microsoft, preoccupano per tre motivi. In primo luogo, se messi in relazione con l’attacco a SolarWinds, sembra che parte del playbook di Nobelium sia di ottenere l’accesso ai fornitori di tecnologia di fiducia e infettare i loro clienti.
Facendo piggybacking sugli aggiornamenti del software e ora sui fornitori di e-mail di massa, Nobelium aumenta le possibilità di danni collaterali nelle operazioni di spionaggio e mina la fiducia nell’ecosistema tecnologico.
In secondo luogo, prosegue l’analisi di Microsoft, le attività di Nobelium e quelle di player simili sembrano seguire le questioni che riguardano il Paese da cui operano. Questa volta Nobelium ha preso di mira molte organizzazioni umanitarie e dei diritti umani.
In terzo luogo, secondo Microsoft i cyberattacchi degli stati-nazione non stanno rallentando. Per questo, afferma la società di Redmond, c’è bisogno di regole chiare che governino la condotta degli stati-nazione nel cyberspazio e chiare aspettative sulle conseguenze della violazione di queste regole.
I team di Microsoft stanno continuando a indagare sull’ultima ondata di attacchi di phishing lanciati da Nobelium e, fra i clienti dell’azienda osservati, pare non ci siano prove di un numero significativo di organizzazioni compromesse al momento.
Inoltre l’azienda ha assicurato che i servizi antivirus, come Microsoft Defender Antivirus, e i prodotti di rilevamento e risposta degli endpoint, come Microsoft Defender for Endpoint, stanno identificando e proteggendo dal malware utilizzato in questa ondata di attacchi e stanno funzionando in combinazione con Microsoft Defender for Office 365.
È importante, avverte però Microsoft, che tutti gli utenti impieghino un’igiene di base per la cybersicurezza, tra cui l’uso dell’autenticazione a più fattori, l’utilizzo di software antivirus/antimalware e l’attenzione a non cliccare sui link nelle e-mail, a meno che non sia possibile confermarne l’affidabilità per ridurre al minimo il rischio di essere vittima di phishing.
