La vulnerabilità di Outlook all’origine dell’azione del gruppo russo Fancy Bear a infrastrutture ucraine

Il Common Vulnerability Scoring System (CVSS) di Outlook gli ha assegnato l’elevatissimo punteggio di 9,8 per definirne la pericolosità. Stiamo parlando della vulnerabilità zero-day di Outlook che è stata utilizzata dal gruppo di hacker russi APT28 (meglio conosciuto come collettivo Fancy Bear, da qualche tempo collegato, negli equilibri geopolitici, ai servizi segreti russi) per attaccare alcune delle infrastrutture più critiche e strategiche dell’Ucraina. La vulnerabilità è l’ormai famigerata CVE-2023-23397, che il sistema di gestione di casa Microsoft ha individuato e ha provveduto a correggere nel mese di marzo 2023, dopo che questa vulnerabilità aveva causato non pochi problemi strutturali nell’ambito della guerra ibrida che, ormai, dal 24 febbraio 2022 si sta combattendo in Ucraina e – a questo punto possiamo affermarlo senza tema di smentita – nel cyberspazio.

LEGGI ANCHE > Cos’è BRAVE1, la piattaforma appena lanciata in Ucraina per gestire la cyberwar

Vulnerabilità Outlook sfruttata dagli hacker russi nella guerra in Ucraina

Per tutta la seconda parte del 2022, infatti, alcuni siti istituzionali, militari e alcune società energetiche sono state vittima di attacchi hacker in Ucraina, che hanno provocato sgomento nella popolazione già fortemente provata dal combattimento al fronte. La porta d’accesso di questi attacchi, che si sono verificati dal mese di aprile al mese di dicembre, sarebbe stata proprio questa vulnerabilità di Outlook. A riprova di come anche gli spazi di internet che riteniamo più sicuri (Microsoft è una delle multinazionali Big Tech che siamo abituati a considerare più solide, sia dal punto di vista finanziario, sia dal punto di vista della reputazione) possono essere trasformati, in questa guerra ibrida, in veri e propri strumenti offensivi nei confronti di uno stato in guerra.

Come spesso accade, i dati d’accesso ai portali istituzionali ed energetici sono stati desunti dall’invio di una campagna di mail spam proprio attraverso Outlook. Non è stata necessaria l’interazione dell’utente con questa mail inviata, perché in alcuni casi, la vulnerabilità ha consentito l’utilizzo della mail prima ancora che questa fosse visualizzata nel messaggio d’anteprima. In seguito a questa azione, gli hacker di Fancy Bear sono riusciti a recuperare accessi e credenziali e a modificare i permessi per condurre i loro attacchi alle infrastrutture individuate.

All’interno della difesa cibernetica dell’Ucraina (e in modo particolare in seno al Computer Emergency Response Team che opera all’interno dell’agenzia per la cybersicurezza ucraino) è stata condotta un’analisi che ha portato alla segnalazione a Microsoft e alla conseguente operazione di risanamento della vulnerabilità. E una nuova segnalazione è arrivata anche nelle ultimissime ore: lo stesso gruppo di hacker, infatti, sembra aver inviato una nuova campagna di mail spam, che cerca di convincere l’utente ad effettuare un aggiornamento di Windows, soprattutto per quanto riguarda i suoi livelli di sicurezza. Il mittente dà l’impressione di essere reale, dal momento che sono stati utilizzati nominativi e sigle di reali dipendenti di autorità governative ucraine prese di mira.

Un nuovo tentativo di attacco che riguarda Microsoft

La domanda che è opportuno farsi, e che potrebbe essere utile anche nel dibattito sulla sovranità del dato, è se – in una situazione emergenziale come può essere quella bellica – affidarsi a multinazionali di Big Tech possa essere più sicuro rispetto alla creazione di un proprio ecosistema tecnologico. Microsoft, Google, altre aziende americane sono da sempre considerate – anche a livello istituzionale – la risposta più rapida e più efficace in termini di infrastruttura informatica. La vulnerabilità che è stata a lungo sfruttata dagli hacker russi per ripetuti attacchi (o – come nell’ultimo caso descritto – tentativi di attacco) testimonia che non si può affrontare con leggerezza l’argomento e che anche grandi aziende di Big Tech possono esporre i propri clienti istituzionali a gravi problemi di sicurezza. Se internet è usato come strumento di guerra, questo elemento non può non essere preso in considerazione dalle istituzioni legate alla difesa del territorio.