Per anni il unità di hacking all’interno dell’agenzia di intelligence militare russa GRU nota come Sandworm ha effettuato alcuni dei peggiori attacchi informatici della storia—blackout, falsi ransomware, worm che distruggono dati– da dietro un velo di anonimato mantenuto con cura. Ma dopo mezzo decennio di operazioni fallite dell’agenzia di spionaggio, storie di copertura saltate e incriminazioni internazionali, forse non sorprende che togliere la maschera all’uomo che guida oggi quel gruppo di hacker altamente distruttivo riveli un volto familiare.
Il passaporto utilizzato da Evgenii Serebriakov per entrare nei Paesi Bassi nel 2018.
Fotografia: Dipartimento di Giustizia
Il comandante di Sandworm, la famigerata divisione delle forze di hacking dell’agenzia responsabile di molte delle più aggressive campagne di guerra informatica e sabotaggio del GRU, è ora un funzionario di nome Evgenii Serebriakov, secondo fonti di un servizio di intelligence occidentale che ha parlato con WIRED a condizione di anonimato. Se quel nome suona un campanello, potrebbe essere perché lo era Serebriakov incriminatoinsieme ad altri sei agenti del GRU, dopo essere stato catturato nel bel mezzo di un operazione di spionaggio informatico a distanza ravvicinata nei Paesi Bassi nel 2018 che ha preso di mira l’Organizzazione per la proibizione delle armi chimiche dell’Aia.
In quell’operazione sventata, le forze dell’ordine olandesi non si limitarono a identificare e arrestare Serebriakov e la sua squadra, che facevano parte di un’altra unità del GRU generalmente nota come Fancy Bear o APT28. Hanno anche sequestrato lo zaino di Serebriakov pieno di attrezzature tecniche, così come il suo laptop e altri dispositivi di hacking nell’auto a noleggio della sua squadra. Di conseguenza, gli investigatori olandesi e statunitensi sono stati in grado di mettere insieme i viaggi e le operazioni passate di Serebriakov che risalgono ad anni fa e, dato il suo nuovo ruolo, ora conoscono con dettagli insoliti la storia della carriera di un funzionario emergente del GRU.
Secondo le fonti dei servizi di intelligence, Serebriakov è stato incaricato di Sandworm nella primavera del 2022 dopo aver prestato servizio come vice comandante dell’APT28, e ora ricopre il grado di colonnello. Anche Christo Grozev, il principale investigatore focalizzato sulla Russia per l’outlet di intelligence open source Bellingcat, ha notato l’ascesa di Serebriakov: intorno al 2020, dice Grozev, Serebriakov ha iniziato a ricevere telefonate dai generali del GRU che, nella rigida gerarchia dell’agenzia, parlano solo a livello superiore funzionari. Grozev, che afferma di aver acquistato i dati del telefono da una fonte del mercato nero russo, afferma di aver visto anche il numero dell’agente del GRU apparire nei tabulati telefonici di un’altra potente unità militare focalizzata sul controspionaggio. “Mi sono reso conto che doveva essere in una posizione di comando”, dice Grozev. “Non può più essere solo un normale hacker.”
Il fatto che Serebriakov sembra aver raggiunto quella posizione nonostante sia stato precedentemente identificato e incriminato nella fallita operazione nei Paesi Bassi suggerisce che deve avere un valore significativo per il GRU, che è “apparentemente troppo bravo per essere scaricato”, aggiunge Grozev.
La nuova posizione di Serebriakov alla guida di Sandworm—ufficialmente Unità 74455 del GRU ma conosciuta anche con i soprannomi Voodoo Bear e Iridium—lo mette a capo di un gruppo di hacker che sono forse i professionisti più prolifici al mondo della guerra cibernetica. (Si sono anche dilettati in campagne di spionaggio e disinformazione.) Dal 2015, Sandworm ha guidato la campagna senza precedenti di attacchi informatici del governo russo contro l’Ucraina: è penetrato nei servizi elettrici nell’Ucraina occidentale e a Kiev per causare il primo e il secondo blackout innescati dagli hacker e ha preso di mira agenzie governative, banche e media ucraini con innumerevoli operazioni di malware che distruggono i dati. Nel 2017, Sandworm ha rilasciato NotPetya, un pezzo di codice autoreplicante che si è diffuso alle reti di tutto il mondo e ha inflitto danni record per 10 miliardi di dollari. Sandworm è poi passato a sabotare le Olimpiadi invernali del 2018 in Corea e attaccare le emittenti televisive nella nazione della Georgia nel 2019, un record scioccante di hacking spericolato.
Con l’invasione su vasta scala dell’Ucraina da parte della Russia un anno fa, l’unità di hacking più aggressiva del GRU, ora sotto la guida di Serebriakov, ha riorientato i suoi sforzi su quel paese. Dal suo quartier generale in una torre nel sobborgo moscovita di Khimki, ha lanciato nuove raffiche di malware che distruggono i dati, ha tentato di provocare un terzo blackout— cosa che il governo ucraino afferma di aver impedito — e ha bombardato le organizzazioni ucraine e polacche con una falsa campagna di ransomware nota come Prestige.
La carriera di hacker pre-Sandworm di Serebriakov non è stata meno sfacciata. Quando è stato catturato insieme agli altri sei agenti del GRU nei Paesi Bassi nel 2018, affermano i pubblici ministeri statunitensi, aveva nello zaino un Wi-Fi Pineapple, un dispositivo delle dimensioni di un libro progettato per falsificare le reti Wi-Fi e indurre le vittime a connettersi a al posto dell’hot spot Wi-Fi previsto, quindi eseguire attacchi man-in-the-middle che intercettano o alterano il traffico della vittima. La squadra di Serebriakov aveva anche parcheggiato un’auto a noleggio fuori dall’edificio dell’Organizzazione per la proibizione delle armi chimiche con un’antenna per l’hacking Wi-Fi nascosta nel bagagliaio. La squadra stava probabilmente prendendo di mira membri dello staff dell’OPCW che stavano indagando sull’uso da parte della Russia dell’agente nervino Novichok nel tentato assassinio del GRU del disertore Sergei Skripal.
Serebriakov posa con un atleta russo alle Olimpiadi estive di Rio de Janeiro nel 2016.
Fotografia: Dipartimento di Giustizia
Quando gli investigatori hanno esaminato l’attrezzatura di hacking Wi-Fi confiscata, hanno trovato prove di un lungo elenco di reti Wi-Fi a cui si era connesso in precedenza, essenzialmente mappando i viaggi di Serebriakov e dei suoi colleghi per eseguire precedenti operazioni di hacking. Gli hacker, a quanto pare, avevano preso di mira i funzionari delle Olimpiadi estive del 2016 a Rio de Janeiro, dalle quali più di 100 atleti russi erano stati banditi per l’uso di droghe che miglioravano le prestazioni, così come i partecipanti a una conferenza a Losanna, in Svizzera, incentrata su iniziative antidoping nell’atletica.
Il motivo esatto per cui le autorità olandesi hanno rilasciato Serebriakov e i suoi compagni spie piuttosto che incriminarli penalmente – o estradarli negli Stati Uniti, dove rischiano un’accusa per crimini di pirateria informatica – non è mai stato spiegato, e il servizio di intelligence della difesa MIVD olandese non ha risposto alle accuse di WIRED domande al riguardo in quel momento.
Il fatto che la figura al timone di Sandworm oggi sia qualcuno precedentemente identificato in quell’operazione olandese molto pubblicamente pubblicizzata potrebbe dimostrare il valore di Serebriakov per il GRU: secondo le fonti dei servizi di intelligence, è considerato avere buoni collegamenti con la comunità di ricerca sulla sicurezza e forti capacità tecniche . Per quanto riguarda il fiasco della missione olandese del GRU, le fonti dell’intelligence affermano che la colpa è stata degli agenti che lo scortavano e dei suoi colleghi dell’APT28, non degli hacker stessi. E in alcuni casi, per il GRU, un atto d’accusa non fa che rafforzare la reputazione di un agente per l’audacia e l’assunzione di rischi. “Per il Cremlino, potrebbe essere ‘fantastico, hai fatto colpo, costruito il mito, rafforzato la nostra reputazione di predoni tecnologici, buon per te'”, afferma Gavin Wilde, ex funzionario dell’Agenzia per la sicurezza nazionale degli Stati Uniti e il Consiglio di sicurezza nazionale della Casa Bianca, che ora è membro del Carnegie Endowment for International Peace.
Ma la ricomparsa di Serebriakov indica anche che relativamente poche persone svolgono un ruolo chiave nelle operazioni di hacking di alto profilo sponsorizzate dallo stato, afferma John Hultquist, capo dell’intelligence sulle minacce presso la società di sicurezza informatica Mandiant. Hultquist faceva parte del gruppo di ricercatori che inizialmente scoprì e chiamò Sandworm, e ha seguito da vicino l’unità per anni. “Questo è qualcuno di una famigerata operazione ad accesso ravvicinato, e poi si presenta come il leader di un’altra organizzazione che conosciamo molto bene”, dice Hultquist, usando il termine accesso ravvicinato per fare riferimento alle tattiche di hacking Wi-Fi a corto raggio di Serebriakov nei Paesi Bassi. “In una certa misura, dimostra quanto sia piccolo questo mondo che stiamo cercando di tenere d’occhio.”
“Le stesse persone si presentano ancora e ancora, e intendo le persone con le mani reali sulla tastiera”, aggiunge Hultquist. “Parla al numero limitato di persone sul campo. Viviamo ancora in un mondo in cui il talento è apparentemente limitato al punto in cui conosciamo intimamente gli avversari”.
