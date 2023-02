Ascolta la versione audio dell'articolo

Sono sicuramente filo-russi e simpatizzanti di Putin. Sono attivi dall'inizio della guerra e si servono di tanti volontari, anche pagati. E sono mossi da motivi esclusivamente politici, contro i “nemici della Russia”, “russofobi”, colpendo banche, siti istituzionali e servizi collegati a infrastrutture critiche; ma gli ospedali no, quelli non li colpiscono, perché “non sarebbe etico”. Questo l'identikit del gruppo di attivisti NoName057 che hanno colpito ieri diversi siti istituzionali italiani per attacchi Ddos, alcuni rendendoli inaccessibili per alcune ore (sito ministero degli Esteri e dei Carabinieri in particolare).

Sono in buona compagnia. Dall’inizio del conflitto russo-ucraino nel febbraio 2022, diversi gruppi di hacker di entrambe le parti hanno condotto attacchi informatici contro le entità governative e le infrastrutture critiche dell’avversario. Tra questi gruppi, appunto NoName057 e, il più famoso tra i russi, Killnet.

Gli attacchi

NoName057 ha agito soprattutto da maggio scorso contro l’Ucraina e i Paesi europei che sostengono il governo ucraino, in particolare contro i Paesi appartenenti allo spazio post-sovietico come Estonia, Lettonia, Lituania, Polonia, Slovacchia; ma anche Norvegia e Finlandia. Ci sono stati pochi attacchi contro altri Paesi, tra cui Regno Unito, Usa e ora l'Italia.Di solito fanno Ddos – soprattutto contro banche, siti di trasporti e governativi - , ma sono riusciti anche in un web-defacement contro l’Ufficio del trasporto ferroviario polacco. Tra l'altro con Ddos hanno impedito l'accesso a siti di trasporti in Lituania, Lettonia e Stati Uniti (per citare gli attacchi con maggiore effetto pratico, oltre che danno reputazionale). Hanno cercato di influenzare le elezioni in Repubblica Ceca colpendo il sito di un candidato presidenziale sgradito.

Come agisce

NoName057 pubblicizza le sue campagne in un canale Telegram di lingua russa, creato nel marzo 2022, e in un secondo canale, fondato nell’agosto 2022, dove tutti i contenuti sono tradotti in inglese per i membri non russofoni. L’attore delle minacce ha anche creato un terzo canale utilizzato da alcuni dei suoi membri per comunicare sugli aspetti tecnici relativi alle campagne DDoS e un quarto in cui fornisce le istruzioni su come utilizzare uno strumento personalizzato disponibile su GitHub, denominato “DDosia”, per condurre attacchi DDoS. A settembre 2022 hanno anche avviato un meccanismo di ricompensa finanziaria, a beneficio di utenti che fanno gli attacchi Ddos più efficaci. Ricompense fino a circa mille euro.Come riportano gli analisti di Yarix, ci sono prove di cooperazione con altri collettivi informatici pro-Russia, come Killnet e XakNet. Come recentemente osservato nell’analisi condotta da Mandiant Intelligence, sembra che alcuni di questi gruppi filorussi (ad esempio XakNet) siano collegati alla Direzione principale dello Stato Maggiore delle Forze Armate della Federazione Russa (GRU), l’agenzia di intelligence militare estera della Federazione Russa. “Non ci sono evidenze che anche NoName057 sia collegato ai servizi segreti russi”, dice l'esperto cyber Pierluigi Paganini.Il gruppo ha spesso ribadito nei suoi canali/gruppi privati che prendere di mira il settore sanitario non è etico. Pertanto, gli utenti sono stati incoraggiati a condurre le loro operazioni solo contro quelle entità colpendo le quali si può avere un danno finanziario o reputazionale.

Il tipo di attacco

In particolare l'attacco Ddos funziona così: si satura il server (sito) di un obiettivo subissandolo di richieste, simili a quelle legittime. A questo scopo gli attaccanti usano al solito botnet, ossia reti di computer infettati da malware attraverso i quali possono usarli per lanciare queste richieste. I computer appartengono a utenti ignari, in diversi Paesi. Storicamente l'attacco Ddos più usato è di tipo volumetrico, in cui si cerca di saturare la banda della vittima con picchi di traffico. Da qualche mese stanno prendendo piede però attacchi Ddos di tipo applicativo, come riportato a maggio scorso dall'Agenzia per la cybersicurezza nazionale. In quel caso Killnet aveva colpito vari siti istituzionali italiani. Chi ha analizzato i log degli attacchi Noname057 riferisce al Sole24Ore che anche in questo caso sembrano attacchi Ddos applicativi, giudicati più insidiosi di quelli volumetrici vecchio stampo.Queste tecniche mirano a saturare le risorse dei sistemi che erogano i servizi tra cui i server web. A maggio come ora sembra che gli attaccanti abbiano usato nello specifico una tecnica slow http (una di quelle di tipo applicativo). Inviando numerose richieste con velocità di trasmissione molto bassa (di qui la parola “slow”), l'attaccante costringe il server web di destinazione a mantenere la connessione aperta, saturando in tal modo le risorse dedicate dal server alla comunicazione con i client esterni.