28 Maggio 2020 - Tempo di lettura: 4 minuti
Un gruppo di hacker collegato al Cremlino ha continuato i suoi sforzi a lungo termine per colpire le aziende tedesche nei settori dell'energia, dell'acqua e dell'energia, secondo una consulenza del governo tedesco riservata ottenuta da CyberScoop.
Gli investigatori all'inizio di quest'anno hanno scoperto prove dei "compromessi di vecchia data" degli hacker presso aziende tedesche senza nome, secondo il promemoria che le agenzie di intelligence e di sicurezza tedesche hanno inviato la scorsa settimana agli operatori di infrastrutture critiche.
Il gruppo di hacking - soprannominato Berserk Bear e sospettato da alcuni analisti del settore di operare per conto dell'agenzia di intelligence russa FSB - ha utilizzato la catena di approvvigionamento per accedere ai sistemi IT delle società tedesche, ha dichiarato l'avviso di BSI, BND e BfV federale agenzie.
"L'obiettivo degli aggressori è utilizzare malware disponibili pubblicamente ma anche appositamente scritti per ancorarsi permanentemente nella rete IT ... rubare informazioni o persino ottenere l'accesso a sistemi produttivi [reti OT]",
ha affermato l'advisory. Non ci sono prove di un attacco dirompente alle reti industriali di qualsiasi azienda, hanno affermato le autorità tedesche. Le agenzie non hanno risposto a una richiesta di commento.
Berserk Bear è meglio conosciuto negli Stati Uniti per una campagna lunga anni per raccogliere dati sulle società energetiche statunitensi, per la quale l'amministrazione Trump ha incolpato il governo russo nel 2018. È una delle poche squadre di hacking che Mosca può chiamare a spiare sulle reti di computer industriali, dicono gli analisti. Un altro gruppo - noto come Sandworm e che si ritiene operi per conto dell'agenzia di intelligence militare GRU della Russia - ha acquisito notorietà per aver tagliato il potere in Ucraina nel 2015 e nel 2016. Berserk Bear è meno evidente. Hanno usato "waterholing", o infettando siti Web e quindi selezionando credenziali di accesso di alto valore, per compromettere le reti IT delle società di infrastrutture critiche in Europa e Nord America. Nel 2018, il gruppo di hacking "ha condotto una vasta ricognizione mondiale in più settori, tra cui energia, marittima e manifatturiera" e ha anche preso di mira organizzazioni governative statunitensi, secondo un rapporto della società di sicurezza informatica CrowdStrike.
Questo è lontano dal primo incontro delle aziende tedesche con Berserk Bear. Nel 2018, la BSI - una delle principali agenzie tedesche di sicurezza informatica - ha anche accusato il gruppo di hacker di aver tentato di violare le reti IT delle società energetiche e elettriche tedesche.
Robert M. Lee, CEO della società di sicurezza informatica industriale Dragos , ha affermato che i suoi analisti erano a conoscenza della storia del gruppo - e di quella di un gruppo di hacker che la sua azienda chiama "Allanite" - di prendere di mira le utility elettriche tedesche e statunitensi.
"Sono stati aggressivi e hanno preso di mira numerose utility, comprese quelle negli Stati Uniti, negli ultimi due anni", ha detto Lee. "Ad oggi, non hanno mostrato la capacità o l'intenzione di interrompere le operazioni di [utility"]. Data la loro attenzione ai sistemi di controllo industriale e all'ampio targeting, tuttavia, continuiamo a seguirli e riferirli sulla comunità.
Sven Herpig, un esperto di sicurezza informatica con il think tank tedesco SNV, ha dato il benvenuto alla consulenza e ha invitato le aziende tedesche a seguire l'avvertimento. Il promemoria contiene "raccomandazioni concrete su come individuare e proteggere da un'intrusione" di Berserk Bear, ha affermato.
L'ambasciata russa a Washington, DC, non ha risposto a una richiesta di commento sul rapporto delle agenzie tedesche.