Recentemente, sono emerse nuove informazioni su una campagna di spionaggio informatico in corso che prende di mira il Kazakistan. Questo attacco è attribuito a gruppi di hacker legati alla Russia, noti come UAC-0063, associati anche a APT28, un gruppo statale russo. L'obiettivo principale di questa campagna è la raccolta di informazioni economiche e politiche nella regione dell'Asia centrale. L'indagine ha rivelato che questi attacchi utilizzano il malware HATVIBE, insieme ad altre famiglie di malware quali CHERRYSPY e STILLARCH, per compromettere le istituzioni governative.

Il gruppo UAC-0063

Il gruppo UAC-0063 è noto per aver usato documenti legittimi del Ministero degli Affari Esteri del Kazakistan come esca per attacchi di phishing. Questi documenti contengono macro malevole che, una volta eseguite dalle vittime, avviano una catena di infezioni che termina con l'installazione del malware HATVIBE. Questo malware funge da caricatore per il successivo malware CHERRYSPY, un sofisticato backdoor scritto in Python. La tecnica utilizzata in questa catena di infezione è stata soprannominata "Double-Tap" ed è caratterizzata da diversi stratagemmi per eludere le soluzioni di sicurezza.

È interessante notare come i metodi e gli obiettivi di questa campagna riflettano tattiche simili a quelle utilizzate in passato dal gruppo APT28, noto anche come Fancy Bear o Iron Twilight. Gli attacchi sono focalizzati sulla raccolta di informazioni strategiche riguardanti le relazioni diplomatiche tra gli stati dell'Asia centrale, in particolare le relazioni estere del Kazakistan. Questo evidenzia l'importanza crescente della cybersicurezza nel contesto delle relazioni internazionali e delle operazioni di intelligence.

Intercettazione e sorveglianza

In parallelo, è stato scoperto che diversi paesi dell'Asia centrale e dell'America Latina hanno acquistato tecnologie di intercettazione dalle imprese russe. Queste tecnologie, conosciute come SORM, consentono l'intercettazione di comunicazioni internet e telefoniche, sollevando preoccupazioni sulla loro potenziale utilizzazione per la repressione politica e la sorveglianza di attivisti e giornalisti.

Le implicazioni di queste azioni sono significative, poiché l'esportazione di tecnologie di sorveglianza russa potrebbe offrire a Mosca ulteriori opportunità di espandere la sua influenza, specialmente in aree considerate sotto la sua tradizionale sfera d'influenza. La comunità internazionale è quindi chiamata a prestare attenzione a questi sviluppi per comprendere meglio l'evoluzione delle minacce nel panorama della sicurezza informatica globale.