Una recente operazione di cyber-spionaggio attribuita a gruppi di hacker con legami alla Russia rappresenta in realtà un ulteriore capitolo di una più vasta serie di attività, e si sta concentrando sulle piattaforme di messaggistica più diffuse negli ambienti istituzionali: Signal e WhatsApp.
L’allerta proviene questa volta dalle agenzie di intelligence olandesi AIVD (civile) e MIVD (militare), che segnalano esplicitamente una “campagna globale su vasta scala” rivolta a account di funzionari pubblici, militari, diplomatici e giornalisti.
Il phishing mirato
Secondo le indagini, gli attacchi non sfruttano vulnerabilità tecniche delle applicazioni – la crittografia end-to-end continua a essere efficace – ma si avvalgono di tecniche molto più semplici e spesso più incisive: phishing mirato, messaggi ingannevoli e richieste di codici di verifica. In sostanza, come sempre, il “wetware”, ovvero gli utenti in carne e ossa, rimane il punto più vulnerabile della catena.
In pratica, gli aggressori riescono a persuadere le vittime a condividere i codici di sicurezza necessari per registrare un nuovo dispositivo sull’account, ottenendo così accesso alle conversazioni private e ai gruppi di lavoro.
“Nonostante l’opzione di crittografia end-to-end, applicazioni di messaggistica come Signal e WhatsApp non dovrebbero essere impiegate come canali per informazioni classificate, riservate o sensibili,” ha effettivamente commentato il viceammiraglio Peter Reesink, direttore della MIVD.
L’obiettivo: funzionari e personale militare
Il metodo risulta particolarmente efficace poiché colpisce una categoria molto specifica di utenti. Non il grande pubblico, che è comunque bersagliato da altri tipi di attacchi, ma coloro che operano nelle amministrazioni pubbliche o collaborano con esse: funzionari, consulenti, diplomatici, addetti alla comunicazione e personale militare.
Un ecosistema composto da milioni di persone che utilizzano quotidianamente chat crittografate per coordinare riunioni, condividere documenti, prendere decisioni cruciali per la vita di organizzazioni e territori o discutere questioni sensibili al di fuori dei canali ufficiali.
La strategia segue uno schema ormai consolidato nel cyber-spionaggio moderno: colpire l’anello umano della sicurezza digitale piuttosto che l’infrastruttura tecnica. In molti casi, gli hacker si presentano ad esempio come supporto tecnico delle piattaforme o come colleghi di lavoro e chiedono di inoltrare un codice numerico ricevuto via SMS o direttamente all’interno dell’app.
Come funziona l’attacco
Quel codice, come chiarisce il documento diffuso dai servizi olandesi, è in realtà la chiave che consente di registrare l’account su un nuovo dispositivo o di collegarlo tramite la funzione “linked devices”. Una volta ottenuto, gli aggressori possono associare uno smartphone o un computer di loro proprietà al profilo della vittima e accedere a tutte le conversazioni.
In altri casi, l’attacco avviene tramite falsi inviti a gruppi Signal o WhatsApp, contatti che si spacciano per colleghi o funzionari reali, oppure messaggi che simulano comunicazioni di servizio urgenti. Il risultato è identico: l’utente, convinto di interagire con un interlocutore legittimo, fornisce credenziali o codici temporanei che consentono agli hacker di infiltrarsi nelle chat e monitorare conversazioni, file condivisi e reti di contatti.
Le campagne hacker del passato
Questo tipo di operazioni, come già accennato, non è una novità. Negli ultimi dieci anni, diversi gruppi hacker associati all’intelligence russa hanno realizzato campagne simili negli Stati Uniti e in Europa. Tra i casi più noti vi è l’intrusione nei sistemi del Comitato nazionale democratico statunitense nel 2016, attribuita a gruppi legati al GRU e accompagnata dalla diffusione di documenti rubati durante la campagna elettorale americana.
Tuttavia, le campagne di spionaggio informatico non si limitano alle elezioni.
Negli anni successivi, operazioni di spear-phishing (cioè mirati a una persona o a un gruppo specifico) hanno preso di mira think tank, centri di ricerca e organizzazioni legate alla sicurezza nazionale statunitense, con l’intento di accedere a comunicazioni interne e analisi strategiche.
Negli ultimi tempi, l’attenzione si è progressivamente spostata sulle piattaforme di messaggistica mobile: clamoroso, lo scorso anno, il caso del segretario alla Difesa degli Stati Uniti Pete Hegseth e di altri alti funzionari statunitensi accusati di aver utilizzato Signal per scambiarsi informazioni classificate, in un episodio passato alla cronaca come “Signalgate”.
Secondo analisi di sicurezza pubblicate da aziende e agenzie governative, diversi gruppi legati alla Federazione russa hanno iniziato a sfruttare funzioni come il collegamento di dispositivi o gli inviti a gruppi dell’app ideata ormai 12 anni fa da Matthew Rosenfeld per ottenere accesso agli account di militari, funzionari governativi e personale diplomatico, oltre a un ampio assortimento di personalità che gravitano attorno a quelle organizzazioni statali.
Se in passato gli attacchi si concentravano principalmente su server e infrastrutture, oggi sempre più spesso l’obiettivo sono quindi le conversazioni informali che avvengono su smartphone e app di messaggistica. Proprio perché considerate più sicure, alcune di queste piattaforme sono diventate strumenti quotidiani nelle amministrazioni pubbliche di molti paesi. Questo le rende un obiettivo sempre più strategico per chi pratica cyber-spionaggio: entrare direttamente nelle chat dove si prendono decisioni, si condividono documenti e si discutono strategie.
I commenti sono chiusi.