Il gruppo criminale dietro all'
attacco di Solar Winds sta prendendo di mira agenzie governative, think tank, consulenti e organizzazioni non governative. Né è convinta Microsoft, che in un
post sul blog ufficiale scrive di avere rilevato nell'ultima settimana attacchi informatici da parte di Nobelium, che hanno preso di mira circa
3.000 account di posta elettronica in più di 150 organizzazioni diverse.
Il post prosegue spiegando che le organizzazioni statunitensi sono state destinatarie della maggior parte degli attacchi, ma
gli attacchi mirati coinvolgono almeno 24 paesi. Almeno un quarto delle organizzazioni target è stato coinvolto in progetti internazionali a scopo umanitario e a salvaguardia dei diritti umano. Tom Burt, autore del post e Corporate Vice President, Customer Security & Trust, spiega inoltre che "
il gruppo Nobelium, originario della Russia, è lo stesso attore dietro gli attacchi del 2020 ai clienti di SolarWinds. Questi attacchi sembrano essere la continuazione dei molteplici sforzi da parte del Nobelium per prendere di mira le agenzie governative coinvolte in politica estera, con l'obiettivo di rubare informazioni".
La campagna in corso sfrutta un
account email compromesso utilizzato dalla United States Agency For International Development (USAID) per spedire email di
phishing mirato contro le organizzazioni target. Gli obiettivi e i destinatari delle email potrebbero essere stati scelti sfruttando le informazioni di cui gli attaccanti sono entrati in possesso nell'ambito dell'attacco a Solar Winds.
Detta email è particolarmente insidiosa perché
sembra autentica e proviene da un account reale. Tuttavia include un link che, quando cliccato, scarica sul computer della vittima una
backdoor che è stata identificata con il nome NativeZone. Si tratta di uno strumento che potrebbe consentire una vasta gamma di attività, dal furto di dati all'infezione di altri computer su una rete.
Microsoft sta notificando il rischio a tutti i suoi clienti, sebbene non ci sia "alcun motivo di credere" che questi attacchi comportino un qualsiasi sfruttamento o vulnerabilità nei prodotti o servizi Microsoft. L'azienda di Redmond sottolinea peraltro che molti degli attacchi sono stati bloccati automaticamente e Windows Defender, che ha intercettato il malware usato dai cyber criminali.
La Russia continua a negare ogni coinvolgimento. Nel mese di maggio, il capo dell'intelligence russa ha ribadito l'estraneità della Foreign Intelligence Service (SVR) all'attacco informatico contro Solar Winds, ma si è detto "lusingato" dalle accuse di Stati Uniti e Regno Unito, secondo cui l'intelligence russa sarebbe dietro un hack così sofisticato.