Il panorama della cyber-sicurezza è stato recentemente scosso dall’attività del gruppo di hacking russo noto come Winter Vivern. Da almeno l’11 ottobre, questo gruppo ha orchestrato attacchi mirati contro enti governativi europei e think tank, sfruttando una vulnerabilità zero-day associata al software Roundcube Webmail.
Il cuore dell’attacco risiede in una vulnerabilità specifica denominata Stored Cross-Site Scripting (XSS), identificata con il codice CVE-2023-5631. Questa falla è stata prontamente segnalata dai ricercatori di ESET il 16 ottobre, spingendo il team di sviluppo di Roundcube a rilasciare degli aggiornamenti di sicurezza per mitigare il problema.
Gli hacker hanno confezionato i loro messaggi di phishing in modo tale da impersonare il team di Outlook, nel tentativo di ingannare le vittime e indurle ad aprire e-mail dannose. L’apertura di queste e-mail avrebbe innescato automaticamente un payload di primo stadio, sfruttando la vulnerabilità di Roundcube.
Il payload JavaScript finale impiegato negli attacchi ha permesso agli attori dannosi di accedere, raccogliere e sottrarre e-mail dai server di webmail compromessi. Un messaggio di posta elettronica appositamente confezionato poteva caricare codice JavaScript arbitrario nel browser dell’utente Roundcube, senza necessità di alcun intervento manuale da parte della vittima, se non la semplice visualizzazione del messaggio.
Winter Vivern non è nuovo al mondo della cyber-sicurezza. Avvistato per la prima volta nell’aprile 2021, il gruppo ha destato preoccupazione per il suo targeting mirato verso enti governativi in varie nazioni, tra cui India, Italia, Lituania, Ucraina e Vaticano. Le analisi di SentinelLabs suggeriscono che gli obiettivi di Winter Vivern siano strettamente allineati con gli interessi dei governi di Russia e Bielorussia.
Inoltre, Winter Vivern ha mostrato un interesse particolare verso i server di posta elettronica Zimbra e Roundcube di proprietà governativa, conducendo attacchi almeno dal 2022. Tra agosto e settembre 2023, ha sfruttato una vulnerabilità Roundcube XSS (CVE-2020-35730), secondo dati di telemetria forniti da ESET.
In una nota rivelatrice, questa stessa vulnerabilità è stata sfruttata anche da hacker dell’intelligence militare russa affiliati al General Staff Main Intelligence Directorate (GRU) della Russia, compromettendo server di posta elettronica Roundcube del governo ucraino.
Gli attacchi non si sono fermati qui. Le cyberspie russe hanno utilizzato una vulnerabilità di Zimbra (CVE-2022-27926 XSS) in attacchi contro nazioni della NATO, al fine di sottrarre e-mail di funzionari della NATO, governi e personale militare.
Con l’intensificazione delle sue operazioni, sfruttando una vulnerabilità zero-day in Roundcube, Winter Vivern ha dimostrato una minaccia crescente per i governi europei. ESET ha evidenziato la pericolosità del gruppo, sottolineando la regolarità e la persistenza delle campagne di phishing condotte da Winter Vivern. La situazione è aggravata dal fatto che molte applicazioni internet front-end non vengono aggiornate regolarmente, nonostante siano note per contenere vulnerabilità.
In conclusione, gli episodi di cyber-attacco come quello perpetrato da Winter Vivern ribadiscono l’importanza di una vigilanza costante e di una rapida risposta da parte delle comunità di sicurezza informatica. In un’era digitale, la protezione dei dati e la resilienza dei sistemi informatici sono imperative per salvaguardare gli interessi nazionali e la fiducia pubblica nella tecnologia.
Maestro del Caos Digitale e Guardiano del Cyberspazio, naviga nel mare oscuro della sicurezza informatica da oltre vent’anni, armato di codice e un irresistibile papillon.
Con la precisione di un bisturi e l’umorismo di un hacker, ha trasformato centinaia di “comuni mortali IT” in veri e propri ninja dell’Ethical Hacking. La sua missione? Insegnare l’arte della difesa digitale a migliaia di ignare risorse aziendali, un firewall alla volta.
Tre segreti che lo rendono un unicorno nel mondo cyber:
Ha una relazione quasi ossessiva con le password. Alcuni collezionano francobolli, lui colleziona hash crittografici.
Il suo gatto si chiama Hash. Sì, come l’algoritmo. No, non miagola in binario (ancora).
Indossa sempre un papillon, perché chi ha detto che non si può hackerare con stile?
Se lo cercate, seguite la scia di bit verdi: è il suo colore preferito. Perché anche nel mondo digitale, è sempre primavera per la sicurezza!