skip to Main Content

Spesa Sanitaria

Tutte le minacce informatiche russe alla sanità Usa

L'articolo di Giuseppe Gagliano.

 

 

Il Centro di coordinamento della sicurezza informatica (HC3) del dipartimento della Salute e dei servizi umani degli Stati Uniti ha pubblicato una nota sulle minacce che fornisce informazioni sulle organizzazioni informatiche dei servizi di intelligence russi che rappresentano una minaccia per le organizzazioni negli Stati Uniti, compresa l’assistenza sanitaria e la salute pubblica (HPH).

Il brief sulle minacce fornisce informazioni su quattro principali attori di minacce persistenti avanzate che conducono attività informatiche offensive e spionaggio all’interno dei servizi di intelligence russi. Questi attori sono stati collegati al Servizio di sicurezza federale (FSB), al Servizio di intelligence estero (SVR) e alla Direzione principale dell’intelligence dello Stato maggiore delle forze armate (GRU).

Turla, alias Venomous Bear/Iron Hunter/KRYPTON/Waterbug, opera sotto la direzione dell’FSB e si rivolge principalmente a settori come quello accademico, energetico, governativo, militare, delle telecomunicazioni, della ricerca, delle aziende farmaceutiche e delle ambasciate straniere, ed è attivo da allora almeno nel 2004. È noto che il gruppo utilizza malware e backdoor sofisticati ed è principalmente concentrato su attività di spionaggio diplomatico nei paesi dell’ex blocco orientale, sebbene sia stato responsabile dell’attacco al comando centrale degli Stati Uniti nel 2008, ai partecipanti al G20 nel 2017 e al computer del governo rete in Germania nel 2018.

APT29, alias Cozy Bear, YTTRIUM, Iron Hemlock e The Dukes, opera sotto la direzione dell’SVR e si rivolge principalmente alle industrie e ai gruppi di riflessione accademici, energetici, finanziari, governativi, sanitari, dei media, farmaceutici e tecnologici. L’attore APT è attivo almeno dal 2008 e utilizza una gamma di varianti di malware e backdoor. L’attore APR prende di mira principalmente i paesi europei e della NATO ed è noto per condurre campagne di spear phishing per ottenere un accesso furtivo a lungo termine alle reti di obiettivi, ed è particolarmente persistente e focalizzato su obiettivi specifici. L’attore APT ruba le informazioni ma non le fa trapelare. APT29 è noto per essere dietro l’attacco al Pentagono nel 2015, l’attacco SolarWinds Orion nel 2020 e gli sviluppatori di vaccini COVID-19 presi di mira durante la pandemia.

APT28, alias Fancy Bear, STRONTIUM, Sofacy, Iron Twilight, opera sotto la direzione del GRU ed è attivo dal 2004. APT28 si rivolge ai dissidenti e alle industrie aerospaziale, della difesa, dell’energia, del governo, della sanità, dell’esercito e dei media. Il gruppo utilizza una varietà di malware, un downloader per le infezioni di livello successivo e raccoglie informazioni di sistema e metadati per distinguere gli ambienti reali dai sandbox.

L’APT28 prende di mira principalmente i paesi della NATO ed è noto per utilizzare malware ,phishing e raccolta di credenziali e tende a condurre attacchi rumorosi piuttosto che furtivi. Il gruppo ruba e fa trapelare informazioni per promuovere gli interessi politici della Russia. Il gruppo era dietro l’attacco all’Agenzia mondiale antidoping nel 2016, l’attacco informatico e la fuga di dati dal Comitato nazionale democratico degli Stati Uniti e la campagna Clinton nel 2016 e le elezioni tedesche e francesi nel 2016 e 2017.

Sandworm, alias Voodoo Bear, ELECTRUM, IRIDIUM, Telebots e Iron Viking, opera sotto la direzione del GRU ed è attivo almeno dal 2007. Sandworm prende di mira principalmente i settori dell’energia e del governo ed è il più distruttivo. Sandworm prende di mira i sistemi informatici per scopi distruttivi, come condurre attacchi malware wiper, soprattutto in Ucraina. Il gruppo utilizza malware come BadRabbit, BlackEnergy, GCat, GreyEnergy, KillDisk, NotPetya e Industroyer. Sandworm era dietro i molteplici attacchi al governo ucraino e alle infrastrutture critiche nel 2015-2016 e nel 2022, gli attacchi ai siti web georgiani prima dell’invasione russa nel 2008 e gli attacchi NotPetya nel 2017.

Le tattiche, le tecniche, le procedure e il malware utilizzati da ciascuno di questi gruppi sono diversi, ma è possibile implementare alcune mitigazioni per migliorare la resilienza e bloccare i principali vettori di attacco.

Back To Top