Ufficiali militari russi accusati penalmente di attacchi informatici di alto profilo

Un edificio di cristallo nel sobborgo di Khimki a Mosca, noto come “la Torre”, è la sede di un centro per le tecnologie speciali dove lavora un gruppo hacker di sei ufficiali militari dell’unità 74455 dell’agenzia di intelligence russa GRU, denominato “Sandworm”. Il team è anche noto con i nomi di Telebots, Voodoo Bear e Hades.

Lunedì, il Dipartimento di Giustizia statunitense e le autorità britanniche hanno accusato penalmente i sei ufficiali di pianificare un attacco informatico alle Olimpiadi del 2020 a Tokyo. L’accusa di frode informatica e cospirazione è per tutti e sei i componenti che hanno un’età compresa tra i 20 e i 30anni: Yuriy Andrienko, Sergey Detistov, Pavel Frolov, Artem Ochichenko, Petr Pliskin e Anatoliy Kovalev. Quest’ultimo già incriminato due anni fa per il suo presunto ruolo nel violare le indagini del consulente speciale Robert Mueller sull’interferenza elettorale russa del 2016.

Secondo il governo USA, il gruppo ha scatenato il caos nei computer di tutto il mondo considerati nemici, per promuovere gli interessi geopolitici del Cremlino.

Nel 2015 i sei intrapresero il loro primo attacco informatico colpendo una rete elettrica dell’Ucraina, causando un blackout senza precedenti. Oltre 250 mila famiglie  furono lasciate in pieno inverno al buio e senza riscaldamento. Nel 2016 presero di mira la capitale Kiev con un altro blackout.

Nel giugno del 2017 rilasciano una variante di malware della famiglia Petya (prende il nome da un film di James Bond, Golden Eye, in cui Petya è un satellite sovietico), che si diffuse a livello globale infettando i computer e causando oltre 10 miliardi di dollari di danni, secondo il Dipartimento di Giustizia americano. Quel periodo, Kaspersky Lab segnalò le infezioni di “NotPetya” in Francia, Germania, Italia, Polonia, Regno Unito e Stati Uniti, oltre Russia e Ucraina. Tramite la nuova variante furono infettati i record di avvio principale dei sistemi basati su Microsoft Windows di diverse aziende tra cui anche la Banca nazionale dell’Ucraina. Riuscirono a danneggiare anche le operazioni dell’Heritage Valley Health System in Pennsylvania che perse temporaneamente l’accesso ai sistemi informatici relativi alle cure mediche.

Nel 2017 lanciano un attacco alle presidenziali francesi nel tentativo di interrompere le campagne elettorali di alcuni partiti politici, incluso quello dell’attuale presidente Emmanuel Macron e nel 2018 si scagliano contro le indagini del Regno Unito sull’utilizzo di agenti nervini Novichok a Salisbury. Quando infatti il laboratorio scientifico della difesa del Regno Unito e l’Organizzazione per la proibizione delle armi chimiche dell’Aia iniziarono ad indagare sull’attacco del disertore del KGB Sergei Skripal e sua figlia Yulia, la squadra GRU 74455 cominciò ad inviare email di spearphishing a investigatori di entrambe le organizzazioni provenienti da account di noti giornalisti tedeschi e britannici. Per aumentare le possibilità che almeno alcuni dei destinatari cliccassero sui link contenenti malware, la mail affermava di avere informazioni rilevanti per le indagini.

Sempre nel 2018 sono riusciti a distruggere parte del sistema del sito web che fa riferimento al server client (back-end IT) delle Olimpiadi invernali in Corea del Sud.

Secondo gli esperti di sicurezza informatica, la stessa unità dei sei ufficiali russi è stata coinvolta nella campagna elettorale dei democratici nelle presidenziali statunitensi del 2016 con un ruolo attivo nell’ascesa di Donald Trump.

“Nessun paese ha armato le proprie capacità cibernetiche in modo malizioso o irresponsabile come la Russia, causando arbitrariamente danni senza precedenti per perseguire piccoli vantaggi tattici e soddisfare gli attacchi di dispetto”, ha dichiarato John Charles Demers, assistente al Procuratore generale della divisione di sicurezza nazionale. “Continuano a sferrare attacchi dirompenti e distruttivi contro chiunque percepiscano come un avversario della Russia o per aver disprezzato la Russia in qualche modo”, ha aggiunto.

L’ultima incriminazione fornisce un resoconto dettagliato intricato di come i sei ufficiali stavano preparando l’attacco alle Olimpiadi di Tokyo, studiando la tattica e lo stile dei loro omologhi criminali informatici nordcoreani (il gruppo Lazarus), in modo da poterli imitare e gettare sospetti su Pyongyang. Il tentativo era di interrompere il principale evento sportivo del mondo con un attacco informatico che avrebbe riguardato gli organizzatori dei giochi, i servizi logistici, gli sponsor e atleti, per vendicare l’indagine antidoping della squadra olimpica russa. L’Agenzia mondiale antidoping ha bandito a dicembre 2019 la Russia da tutti gli eventi sportivi mondiali, colpevole di aver manipolato i dati di laboratorio consegnati agli investigatori.

Nessun governo al mondo sembrava ufficialmente disposto ad incolpare gli attacchi informatici del gruppo Sandworm pur avendo trovato forti prove del suo coinvolgimento. A luglio, l’Unione europea aveva usato “Olympic Destroyer” come uno dei nomi nelle sanzioni contro di loro, ma senza dire esplicitamente che le sanzioni erano in risposta all’attacco delle Olimpiadi.

Il portavoce del Cremlino, Dmitry Peskov, ha respinto le accuse e ha fatto sapere che la Russia e i servizi speciali “non hanno mai intrapreso alcun attacco hacker, specialmente contro le Olimpiadi”. “Questo assomiglia alle ricadute regolari della russofobia dilagante, che ovviamente non ha nulla a che fare con la realtà”, ha dichiarato Peskov.

Fino ad ora, pur avendo presumibilmente superato ogni linea rossa della sicurezza informatica mondiale, i sei militari russi non erano mai stati accusati o nominati ufficialmente in relazione a determinati attacchi. Le accuse penali segnano la prima risposta globale adeguata contro di loro. Il precedente silenzio era un invito per uno dei gruppi di hacker più pericolosi e aggressivi in circolazione a intensificare gli attacchi informatici.