L’universo dei gruppi di hacker è estremamente vasto e variegato. Come detto nei precedenti articoli, mentre quelli “buoni”, i cosiddetti white hat o ethical hacker, costituiscono una vera e propria risorsa per la sicurezza informatica, peraltro mai sfruttata abbastanza, quelli “cattivi” imperversano nel cyberspazio causando danni che talvolta sono molto ingenti. Inoltre, questi ultimi, spesso, cooperando tra loro, supportano le attività di organizzazioni criminali, movimenti politici o terroristici o, ancora, di strutture governative o private di intelligence, di sicurezza o di difesa. In particolare, esiste un gruppo di hacker che da ormai diversi anni è oggetto di approfondite ricerche e indagini da parte di molti Paesi e di aziende di sicurezza, in quanto sarebbe in qualche modo collegato al governo russo e, nello specifico, ai suoi potenti servizi segreti militari (Glavnoje Razvedyvatel'noje Upravlenije - GRU). Tale cellula, a cui sono stati attribuiti i nomi in codice di Fancy Bear, APT28, Pawn Storm, Sofacy Group, Sednit e Strontium è considerata essere tra le più attive ed efficaci a livello globale. Anche la sua storia, come quella di The Equation Group (v. articolo), si intreccia indissolubilmente con vicende politiche e militari di portata internazionale, ma non solo. Come si vedrà in seguito, nel “mirino” di Fancy Bear sarebbero finite anche molte personalità politiche invise al governo russo.
Veniamo alle caratteristiche che contraddistinguono il gruppo in questione. Come The Equation, Fancy Bear è specializzato in attività di intelligence condotte nel cyberspazio, attraverso sofisticate campagne di Advanced Persistent Threat (APT). Quindi anche gli hacker di questo gruppo sono molto abili nell’introdursi nelle reti altrui, sfruttandone le vulnerabilità (in questo caso, soprattutto quelle non note neanche ai produttori hardware/software - le cosiddette vulnerabilità zero-day) e a svolgere attività di spionaggio a lungo termine senza farsi scoprire.
Le “vittime preferite” di Fancy Bear sono aziende e organizzazioni che operano nel settore aerospaziale, energetico, della difesa, dell'informazione, enti governativi e dissidenti politici anti governo russo. La maggior parte degli obiettivi è concentrata nelle repubbliche ex-sovietiche, tuttavia la cellula opera anche a livello globale conducendo campagne dagli esiti talvolta clamorosi. Le analogie con il gruppo rivale americano The Equation sono molteplici, tra cui ne spiccano almeno altre tre in particolare:
- Fancy Bear opera a partire da almeno il 2004, quindi anche questa cellula ha maturato una grande esperienza nel condurre operazioni nel cyberspazio.
- Le operazioni del gruppo poggiano su un’organizzazione che può essere sostenuta soltanto da una nazione in grado di dedicarvi ingenti risorse sia finanziarie sia di personale. Oltre agli operativi cyber veri e propri poi, le operazioni di Fancy Bear coinvolgono certamente un servizio di intelligence dotato di personale e strumenti adeguati ad analizzare l’enorme mole di dati che viene attinta dai numerosi target.
- La cellula russa non è immune da errori tanto che uno, in particolare, potrebbe costarle molto caro.
Prima di ripercorrere le gesta di Fancy Bear occorre fare la premessa di rito, tuttavia opportuna più che mai quando si tratta di un gruppo di hacker specializzato in campagne APT. Infatti, alla difficoltà di attribuzione degli attacchi, in questo caso, si somma anche quella di non poterne stabilire con precisione la datazione. In generale se e quando si riesce a rilevare una campagna APT di questo gruppo, si riscontrano molte difficoltà nel risalire al momento preciso in cui essa è cominciata. Inoltre, in generale, questo tipo di attacchi si protrae per mesi o addirittura anni, pertanto diventa anche molto difficile quantificare i danni provocati, ovvero i dati acquisiti da Fancy Bear e il beneficio che hanno apportato a chi li ha potuti sfruttare. Infine, in almeno un caso questo gruppo avrebbe deliberatamente tentato di far attribuire un attacco a un'altra cellula cyber, cercando di rendere le indagini ancora più complesse. Vediamo, quindi, una sintesi non esaustiva delle principali operazioni di Fancy Bear.
Nel 2008, nell'ambito della crisi tra Russia e Georgia, il gruppo avrebbe preceduto e accompagnato l'ingresso delle truppe russe in territorio straniero, lanciando una serie di attacchi a numerose reti e siti governativi georgiani. Ciò, oltre che a creare scompiglio tra la popolazione locale, sembra che abbia inciso in parte anche sull’operatività di alcune unità militari georgiane.
Più tardi, tra il 2014 e il 2017 Fancy Bear si è molto “interessato” a una serie di personalità ostili alla politica governativa russa. Tra questi Mikhail Khodorkovsky, capo di un gruppo industriale energetico (attualmente in esilio dopo aver scontato una decina di anni di prigione) che in passato aveva appoggiato il governo per poi osteggiarlo, Maria Alekhina, componente del gruppo musicale Pussy Riot’s ostile al Cremlino e Alexei Navalny, leader del partito anti-corruzione che ha “sfidato” Putin alle recenti elezioni presidenziali, nonché tutto il suo staff. Le attività di queste persone e di altri attivisti politici sarebbero state costantemente “monitorate” dalla cellula, compromettendo e tenendo sotto controllo i loro dispositivi informatici e gli account di posta elettronica, dei social network e di altre applicazioni di comunicazione attraverso Internet.
Nel dicembre del 2014, invece, fu accertato che Fancy Bear era riuscito a introdursi nelle reti del Parlamento tedesco e che per sei mesi ne aveva esfiltrato una mole di dati mai quantificata.
Nell'aprile del 2015, invece, il gruppo si rese protagonista di un'azione di sabotaggio vera e propria, dai contorni non ancora chiariti del tutto. Spacciandosi quale fantomatica cellula di hacker del cyber-Califfato, rivendicó l'attacco che portò al blocco completo delle attività di una dozzina di canali satellitari del gruppo francese TV5 Monde, quale ritorsione verso l'impiego delle truppe d'oltralpe nella lotta a Daesh. Per più di tre ore i canali furono oscurati e dagli account Facebook e Twitter della TV furono inviati alcuni comunicati farneticanti, inneggianti alla lotta agli infedeli. L'attacco fu talmente ben studiato e preparato, e causò tali danni, che TV5 fu sul punto addirittura di chiudere i battenti. Più tardi, indagini approfondite appurarono che per l'attacco fu impiegata un’infrastruttura di comando e controllo riconducibile, senza ombra di dubbio, a Fancy Bear. Ma perché il gruppo avrebbe agito in tale modo? Forse ha utilizzato il falso movente del terrorismo per coprire una “prova generale” di un attacco distruttivo di più ampia portata o verso un obiettivo più pagante? Nessuno può ancora saperlo. Fatto sta che in tale frangente la cellula dimostrò tutte le sue capacità di penetrare in una rete e di renderne completamente inutilizzabili tutti i dispositivi (sembra che il gruppo durante tale attacco riuscì addirittura a prendere anche il controllo delle telecamere automatizzate negli studi TV).
Nel maggio dell'anno successivo, Fancy Bear prese di mira gli istituti di credito di diversi paesi e in agosto lanciò una campagna contro la NATO e la Casa Bianca, bersagliandone gli elementi con false e-mail. Tali comunicazioni contenevano un allegato che in realtà era un malware progettato per superare le difese informatiche delle reti e aprire un canale di comunicazione con la centrale di comando e controllo del gruppo.
Nel 2016 l’Agenzia mondiale antidoping raccomandò la squalifica degli atleti russi alle olimpiadi, in esito alla scoperta di quella che fu definita una vasta campagna di “doping di stato”. Per tutta risposta, in agosto la rete dell’Agenzia fu oggetto di un'incursione di Fancy Bear, che diffuse in Internet una serie di informazioni relative ad atleti USA a cui erano state concesse, per motivi di salute, talune eccezioni nell'uso di farmaci dopanti.
Lo stesso anno il gruppo provò a colpire sia il giornalista sia l’agenzia tedesca per la sicurezza del volo che stavano investigando sull’abbattimento del volo 17 della Malaysia Airlines sui cieli ucraini. Nello specifico, all'epoca entrambi erano riusciti a raccogliere importanti indizi di colpevolezza a carico del governo russo. Si tratta di una vicenda tuttora controversa ma, comunque, le indagini sull’incidente non furono mai compromesse da Fancy Bear.
Successivamente si è registrato quello che potrebbe essere considerato, a buon titolo, il miglior “colpo” del gruppo: l’attacco al cuore del sistema democratico della superpotenza rivale del governo ex sovietico, in occasione delle elezioni presidenziali USA del 2016. Di questa vicenda abbiamo già scritto, mettendone in evidenza il potenziale effetto che avrebbe potuto giocare nell'ambito della corsa alla casa bianca (v. articolo) e adesso si è aggiunto un tassello che, se confermato, metterebbe in luce le responsabilità del GRU e, molto probabilmente, di Fancy Bear. Nell’estate del 2016, in piena campagna elettorale, dai server del Democratic National Congress (DNC) fu prelevata un'enorme quantità di dati, comprese migliaia di email collegate alla candidata Hillary Clinton e i dossier informativi sull’allora sfidante Donald Trump. Indipendentemente dai reali effetti sulla campagna elettorale (che comunque stanno lentamente emergendo) l’operazione cyber è stato un indiscusso successo strategico. Tuttavia taluni errori tattici commessi dagli hacker hanno permesso agli investigatori di attribuirne la paternità a Fancy Bear. Se ciò emerse quasi immediatamente (come anche il fatto che un altro gruppo russo - Cozy Bear, avrebbe condotto contemporaneamente un’operazione parallela ai danni del DNC) è soltanto di poche settimane fa la scoperta della cosiddetta “pistola fumante”, ossia la prova del coinvolgimento diretto del GRU nella vicenda. Il Procuratore speciale che sta conducendo le indagini note come Russiagate, sulle presunte interferenze del Cremlino nelle elezioni USA e sul ruolo di Trump e del suo entourage, ha acquisito le evidenze raccolte da una società di sicurezza, recentemente pubblicate da un sito online, che dimostrerebbero il pieno coinvolgimento dell’intelligence russa nell’attacco al DNC. Nello specifico, tali indagini proverebbero che le informazioni prelevate dai server democratici sarebbero state passate da un agente del GRU a un consigliere di quello che, poco dopo, sarebbe diventato il presidente USA. E se è vero che Fancy Bear è collegato al GRU, se ne deduce che tale cellula abbia ricoperto un ruolo di primo piano nella vicenda in questione.
Tuttavia il gruppo non si è posto target unicamente di natura politica, economica o finanziaria, tant'è che, essendo collegato alla branca militare dell'intelligence russa, in almeno due circostanze avrebbe compiuto azioni nell'ambito di crisi che hanno visto l'impiego delle forze armate. Nello specifico, come detto in precedenza, è successo in Georgia nel 2008 e più recentemente durante il biennio 2014-2016 in Ucraina. Quest'ultimo caso è emblematico: appreso che l'esercito della ex repubblica sovietica utilizzava una App autoprodotta basata sul sistema operativo Android, al fine di dirigere il tiro dei vecchi obici D-30 prodotti in piena guerra fredda, Fancy Bear ne avrebbe messo in circolazione una versione modificata ad hoc. La App non originale, oltre a svolgere apparentemente le stesse funzioni di quella vera, in realtà comunicava anche le posizioni dei pezzi di artiglieria alla centrale di comando e controllo in Russia. Risultato: circa il 20% dell'intero arsenale degli obici ucraini spazzato via con “inspiegabile” precisione.
Ancora più recentemente, lo scorso anno Fancy Bear sarebbe stato il colpevole della diffusione del ransomware NotPetya, di cui già abbiamo scritto in passato (v. articolo). Si tratta di uno dei peggiori attacchi di sempre, che dal suo primo obiettivo originale, un’altra volta l’Ucraina, si è rapidamente diffuso senza controllo a livello planetario, causando danni per diversi milioni di dollari (v. articolo).
Infine, a febbraio di quest'anno, con l’approssimarsi delle olimpiadi invernali, l’Agenzia Mondiale Anti Doping è stata oggetto di un nuovo attacco, simile a quello del 2016, da parte del gruppo russo. Anche in tale circostanza, il movente sarebbe stato la rappresaglia all'esclusione dalla competizione sportiva degli atleti russi.
In conclusione, Fancy Bear è certamente uno dei gruppi di hacker più attivi sia nel fronte interno sia in quello esterno alla propria nazione di riferimento. Peraltro, è anche una delle cellule più in vista nel panorama mondiale, a causa della risonanza delle proprie campagne cyber e dell’alta valenza degli obiettivi colpiti. Inoltre, se da un lato Fancy Bear non risulta particolarmente flessibile nelle tecniche, tattiche e procedure utilizzate per le proprie operazioni, dall'altro i primi report dell'anno prodotti dalle società di sicurezza, evidenziano che il gruppo sta notevolmente raffinando i suoi strumenti cyber, rendendoli ancor più sofisticati. Insomma, l'orso si sta affilando gli artigli e d'altronde, come dice il proverbio, “non scherzar con l'orso, se non vuoi esser morso”!
Principali fonti:
https://www.crowdstrike.com/blog/danger-close-fancy-bear-tracking-ukrainian-field-artillery-units/
http://www.chicagotribune.com/news/nationworld/ct-russian-hacking-20171102-story.html
https://www.welivesecurity.com/2016/11/11/sednit-a-very-digested-read/
(foto: web / MoD Fed russa)