Gli hacker legati all'intelligence russa stanno prendendo di mira i critici del Cremlino in tutto il mondo con e-mail di phishing, secondo una nuova ricerca pubblicata mercoledì dai gruppi per i diritti digitali Citizen Lab e Access Now.

La campagna di phishing fa parte di una vasta operazione di spionaggio su Internet, affermano i ricercatori, e arriva mentre i funzionari degli Stati Uniti stanno monitorando attentamente le reti informatiche per sventare eventuali attacchi informatici contro le elezioni presidenziali del 2024.

Gli hackeraggi di e-mail sono iniziati intorno al 2022 e hanno preso di mira figure di spicco dell'opposizione russa in esilio, ex funzionari di think tank e politici statunitensi e accademici, personale di organizzazioni no-profit statunitensi e dell'Unione Europea, nonché organizzazioni di media, secondo il rapporto.

Alcune delle persone prese di mira si trovavano ancora in Russia, "il che le espone a un rischio considerevole", hanno detto i ricercatori, aggiungendo che le vittime potrebbero essere state selezionate per cercare di ottenere l'accesso alle loro ampie reti di contatti.

Sebbene il phishing sia una tecnica di hacking comune, un tratto distintivo di questa operazione è stato che le e-mail maligne spesso impersonavano persone conosciute dalle vittime, facendole sembrare più autentiche.

Citizen Lab ha attribuito l'hacking a due gruppi: l'importante gruppo russo di hacking Cold River, che i funzionari dell'intelligence e della sicurezza occidentali hanno collegato al Servizio Federale di Sicurezza (FSB) della Russia, e un nuovo gruppo soprannominato Coldwastrel, che sembrava sostenere l'intelligence russa.

L'ambasciata russa a Washington non ha risposto a una richiesta di commento. La Russia ha sempre negato le accuse di hacking durante gli incidenti passati legati a Cold River.

Una delle vittime dell'operazione di hacking è stato un ex ambasciatore degli Stati Uniti in Ucraina, che è stato preso di mira con uno "sforzo credibile" impersonando un altro ex ambasciatore a lui noto, secondo il rapporto, che non ha fatto il nome della persona.

Le e-mail trappola avevano di solito un PDF allegato che richiedeva un clic per decifrarlo. Il clic portava l'obiettivo a un sito web che assomigliava alle pagine di login di Gmail o ProtonMail, dove se si inserivano le proprie credenziali, gli hacker potevano accedere ai loro account e alle mailing list.

Alcune delle persone prese di mira dalla campagna ci sono cascate, ha detto Dmitry Zair-Bek, a capo del gruppo russo per i diritti First Department, che è stato coinvolto nella ricerca.

"Questo attacco non è molto complicato, ma non è meno efficace, perché non ci si aspetta un'e-mail di phishing da un collega", ha detto Zair-Bek a Reuters.

Il numero totale di persone prese di mira è a due cifre e la maggior parte è stata colpita quest'anno, ha aggiunto, senza approfondire.

Citizen Lab ha detto che i bersagli avevano ampie reti di contatti all'interno di comunità sensibili, tra cui persone ad alto rischio all'interno della Russia.

"Per alcuni, una compromissione riuscita potrebbe comportare conseguenze estremamente gravi, come la detenzione", ha dichiarato.

Cold River è emerso come uno dei gruppi di hacking russi più prolifici da quando è apparso per la prima volta sul radar dei funzionari dell'intelligence nel 2016.

Ha intensificato la sua campagna di hacking contro gli alleati di Kyiv dopo l'invasione dell'Ucraina da parte della Russia, e alcuni dei suoi membri sono stati sanzionati da funzionari statunitensi e britannici a dicembre. (Servizio di Zeba Siddiqui; Redazione di Crispian Balmer)