Un nuovo report pubblicato dai Laboratori di F-Secure evidenzia che un gruppo di attacco informatico finora sconosciuto ha condotto operazioni di raccolta di informazioni in materia di politica estera e di sicurezza nell’Europa orientale e nel Caucaso meridionale. Il report descrive il Gruppo Callisto come una realtà altamente motivata e dotata di buone risorse che ha condotto attacchi informatici verso personale militare, ufficiali governativi, giornalisti e gruppi di esperti a partire almeno dal 2015.
Secondo il report, il Gruppo Callisto è responsabile di parecchi attacchi avvenuti nel 2015 e nel 2016. E se il report non identifica vittime specifiche, mette in luce però che l’elemento ricorrente tra le vittime del gruppo è una connessione con la politica estera e di sicurezza che coinvolge l’Europa orientale e il Caucaso meridionale, il che fa presupporre che sia la raccolta di informazioni la motivazione che muove il gruppo.
Nel report si nota che l’infrastruttura del gruppo ha collegamenti con entità in Russia, Ucraina e Cina, ma non offre conclusioni definitive su chi sta dietro questo gruppo. Si evidenzia anche che mentre vi sono prove che suggeriscono che il gruppo abbia legami con uno Stato, i dettagli di questa relazione non sono chiari.
“Agiscono come attaccanti di Stato, ma ci sono prove che li collegano anche a infrastrutture usate dai criminali – ha dichiarato Sean Sullivan, F-Secure Security Advisor -. Quindi potrebbe trattarsi di un gruppo indipendente che è stato ingaggiato da un governo per fare questo lavoro, o eventualmente potrebbero agire per conto proprio con l’intento di vendere le informazioni a un ente governativo o di intelligence. Ma ci sono diverse spiegazioni, oltre a queste, e non possiamo dire con certezza quale sia quella reale sulla base delle evidenze attuali.”
Oltre a descrivere i bersagli e i motivi del Gruppo Callisto, il report fornisce dettagli sul modello di attacco che il gruppo usa per compromettere le proprie vittime. Secondo il report, il Gruppo Callisto usa attacchi di phishing estremamente mirati per rubare credenziali di account email, così come email di spear phishing molto personalizzate e convincenti per infettare le loro vittime con del malware. Queste email di spear phishing sono state spesso inviate da account email compromessi da precedenti attacchi di phishing del gruppo.
Il malware rilasciato da queste email di spear phishing è stato progettato per rubare informazioni dalle vittime, e per infettarle con altro malware. Il report sottolinea che questo malware è una variante dell’agent Scout sviluppato dall’azienda italiana di sorveglianza HackingTeam. Scout era parte di un toolset spyware che HackingTeam vendeva alle agenzie governative, rubato ed apparso online nel 2015.
Secondo Erka Koivunen, Chief Information Security Officer di F-Secure, l’uso da parte del Gruppo Callisto dello spyware progettato per le forze dell’ordine è un duro monito sui pericoli delle tecnologie di sorveglianza.
“L’uso di spyware utilizzati in ambito governativo da parte di attaccanti non dovrebbe sorprendere. Gli strumenti di sorveglianza sono per loro stessa natura progettati per invadere la privacy delle persone. Nelle democrazie ben funzionanti queste ‘azioni invasive’ sono eseguite su mandato di legge, e i cittadini si affidano alle autorità affinché vengano utilizzate in modo responsabile con controlli adeguati e un certo equilibrio di base – ha spiegato Koivunen -. Ma le violazioni di dati e la conseguente successiva perdita di strumenti di sorveglianza di livello professionale forniscono a queste capacità invasive gradi di minaccia differenti. Questo dovrebbe ricordare ai governi che non abbiamo l’esclusivo controllo su queste tecnologie, e che mercenari, Stati ostili, e altre minacce non esiteranno a usare questi poteri di sorveglianza contro di noi.”
Il report sottolinea che il gruppo resta attualmente attivo, e che non si sa come risponderanno sapendo di essere stati scoperti.