Attacco hacker all’Italia: cosa sappiamo

da | Feb 24, 2023

A pochi giorni dall’attacco hacker DDoS all’Italia (fallito), Spindox ha seguito le tracce della gang di hacker russi NoName57.

E un anno è passato. 365 giorni dopo, il 24 febbraio resta in noi un senso di vuoto, d’impotenza, ma anche di quella che è chiamata “war fatigue”: come mai questa guerra dura così tanto? Perché non c’è già un vincitore chiaro? Sarebbe in effetti molto bello che dopo un anno ci si potesse sedere al tavolo dei negoziati, ma le guerre che hanno plasmato l’Europa sono dette “Guerra dei sette anni”, “dei 30 anni”, “Dei 100 anni”. Speriamo che questa non arrivi a queste cifre.

Dov’era l’Europa un anno fa? Era impegnatissima a parlare di sostenibilità, green new deal, PNRR. Sembrava che fosse la volta buona. Un anno dopo, siamo sulla ripresa rispetto alla scarsità di materie prime, su delle sanzioni che stanno funzionando (ma i cui effetti non bastano a bloccare l’esercito russo), addirittura sulla ripresa delle materie prime.

C’è però una guerra parallela, la cyberwar, che nei primi giorni di guerra aveva un’enorme visibilità, fino al momento in cui si è capito che sarebbe stata una lotta nel fango, non una guerra di fino fra gentlemen. E arriviamo all’attacco hacker all’Italia.

E alla fine arriva Giorgia

Giorgia Meloni e Volodymyr Zelensky a Kiev

Quasi 365 giorni dopo è anche il giorno di Giorgia Meloni a Kiev. Ci arriva nervosa, ma esce dalla capitale ucraina con un endorsement da parte del presidente Volodymyr Zelensky.

Ma non è di questo episodio, super esaminato dall’informazione italiana, che va messo il focus. Quanto piuttosto sul massiccio attacco hacker all’Italia: un DDoS (Distribuited Denial of Service) che il collettivo di hacker NoName 57 ha lanciato contro il nostro Paese all’indomani della visita di Giorgia Meloni.

Un attacco del genere ha lo scopo di sovraccaricare un sito e mandarlo in tilt. “Dopo una colazione con i croissant, abbiamo deciso di andare a mangiare una pizza in Italia” (proprio vero che sia più semplice rompere un atomo che un pregiudizio).

L’attacco hacker all’Italia ha colpito, fra gli altri, ministero dell’Interno, ministero degli Esteri e Politiche agricole; il portale per il rilascio della carta d’identità elettronica, quello dei carabinieri; il gruppo Tim e BperBanca.

Missione compiuta? Nemmeno per sogno. Fortunatamente, nessun dato è stato rubato stavolta; e anche il piano di far “collassare” i siti non è andato granché bene: sono stati bloccati immediatamente gli IP esteri, e tutto si è risolto con un rallentamento.

Tutto è bene quel che finisce bene? Si e no: lo stratagemma di bloccare gli IP esteri potrebbe essere in futuro aggirato con un uso più efficace di sistemi VPN, fatti per camuffare la provenienza di un PC. Inoltre, si è già visto come amministrazioni e aziende sanitarie locali siano al momento il tallone d’Achille di questo sistema di sicurezza. E nel mentre, la cyberwar prosegue. Ma riordiniamoci un po’ le idee

Una storia partita da lontano

“I membri di Anonymous hanno dichiarato guerra la suo Regime, Vladimir Putin. […]Siamo Anonymous, siamo una legione”.

Messaggio forte, quello lanciato dal collettivo hacker più famoso e popolare al mondo: sono stati sempre al di fuori di ogni contesa politica, ma a quel punto sono entrati nella guerra ucraina per difendere il diritto all’autodeterminazione dei popoli. Inizia così il livello maggiore di un’escalation che nei primi mesi di guerra porta il collettivo anche a hackerare la TV di Stato russa per mostrare i massacri messi in campo dall’esercito.

Nello stesso periodo, viene costituita la IT Army of Ukraine. Un collettivo di hacker messo in piedi per combattere una guerra ibrida e sabotare la Russia. Qualche settimana di proclami; un numero importante di volontari messi in campo tramite il loro gruppo Telegram; qualche risultato interessante, come il blocco dei bancomat in Russia nel momento in cui il rublo era in caduta libera (mossa che non sappiamo nemmeno se sia stata controproducente). L’ultimo messaggio, però, risale al 13 marzo 2022: forse l’inasprirsi del conflitto, la conquista del sud dell’Ucraina e i tagli alla rete internet li hanno messi fuori gioco.

Cyberwar: Tutti gli uomini del presidente (Putin)

A Vladimir Putin non piacevano gli hacker, questo è un dato certo. E, altro dato certo, agli hacker nemmeno Putin andava troppo a genio. Questo sia perché il suo principale avversario, Aleksej Navalny, è comunque un informatico; sia perché, malgrado alcuni attacchi (tipo quelli all’american pipeline) mettevano in difficoltà gli statunitensi, lui non aveva il controllo di questo vasto mondo, fatto di tendenze sovversive, anarchiche, di contestazione al potere.

Però, diversi analisti sostenevano che Putin non fosse totalmente impotente nei confronti di questi collettivi; che non li supportasse, ma li tollerasse e sapesse chi erano i suoi principali rappresentanti. Aspettava solo il momento migliore per sfruttare quella che è un’eccellenza russa: i principali hacker a livello mondiale sono russi.

E, all’indomani della guerra, qualche colpo l’esercito russo l’ha messo a segno: la gang specializzata in ransomwaring Conti (leggende vogliono che il nome sia un omaggio a Giuseppe Conte) ha rilasciato questo comunicato:

“Conti annuncia ufficialmente il suo supporto al governo russo. Se qualcuno decide di organizzare un cyberattacco o un’attività ostile contro la Russia, siamo pronti a usare tutte le nostre risorse per colpire le infrastrutture critiche del nostro nemico”

Un giro di affari di più di 180 mln di $. Una reputazione da gruppo estremamente “tosto” e inattaccabile (e la reputazione in questi campi vale tantissimo). Tutto andato in fumo all’indomani di questo messaggio: un altro gruppo di hacker, per rappresaglia, ha attaccato la loro chat interna, svelando:

  • Una rete di messaggi antisemiti e omofobi, oltre che pesanti referenze a pedofilia
  • Un tentativo di hackerare le ricerche intorno al Covid-19
  • Un sostegno al presidente Putin che risaliva a prima dell’invasione
  • L’identità di un tale di nome Patrick, cittadino russo in Australia e fra i leader del gruppo   

Ma non c’è solo Conti. All’indomani della guerra, scende in campo il gruppo ComingProject. Chi resta invece neutrale è la gang Lockbit, la stessa che due anni fa ha attaccato la USL di Padova “Siamo russi, ma apolitici. Il nostro scopo è fare soldi, per un mondo senza armi e violenza”

Cyberwar: Name not found

Stranamente, però, il sostegno alla guerra in Ucraina non ha portato a questi gruppi la stabilità di cui avevano bisogno (e che forse si immaginavano). E’ stata però un’occasione per nuovi players per venire allo scoperto.

Non sappiamo la data di fondazione, né se sia composto da homini nuovi o appartenenti a vecchi collettivi in declino. Però la prima apparizione risale al 1° giugno scorso. Rispetto ad altri gruppi, attivi nel ransomwaring, la specialità di queste persone sono gli attacchi DDoS. Secondo un’indagine di Avast del settembre 2022, il loro tasso di successo si aggira intorno al 40%.

Il gruppo attacca principalmente Paesi filo-ucraini. Questa assenza d’interesse per qualunque tipo di guadagno autonomo potrebbe significare che si tratti di una creatura creata a tavolino dal Cremlino. Siamo entrati nel loro canale Telegram, per vedere meglio di cosa si tratta.

Attacco hacker all’Italia: Propaganda, pubblicità e tanto altro

Alcuni dei memes con cui NoName57 festeggia l’avvenuto attacco all’italia

Fra uno scalpo e l’altro di istituzioni accademiche, aziende etc… (rivendicati con un’immagine di un orso con un colbacco, dal gusto vagamente kitsch), ci sono molte cose che non ci si aspetterebbe da un gruppo che conta comunque 28k adepti.

In primo luogo, un messaggio di benvenuto che invita a investire in criptovalute e NFT (evitiamo di fare il nome per non fare pubblicità). In qualche modo dovranno anche sostenersi, questi gruppi.

Poi, andando indietro sui post di un paio di giorni, sempre con l’immancabile orso, un messaggio che parte dalla canzone del musicista sovietico Robert Rozdevstvensky:

“Siamo immortali come il fuoco. Solidi come il granito. Siamo l’esercito del Paese, l’esercito del popolo. La nostra storia aspetta un grande futuro.

Amici, a tutti auguriamo una buona giornata della Patria. La difenderemo dal punto di vista informatico. E tutti i volontari che lo desiderino possono unirsi al nostro progetto. Proviamo la forza della cyberguerra ai Paesi russofobi”

Un progetto aperto e dai contorni piuttosto inquietanti, che si possono vedere anche nel loro ultimo daily digest, in cui ci si vanta del fatto che il Servizio per la supervisione delle comunicazioni, tecnologia, informazione e mass media (guida: l’ex presidente fantoccio D. Medvedev) nel gennaio 2023 abbia cancellato più di 10.000 documenti utili alla distribuzione di medicinali.

L’attacco hacker all’Italia è un successo?

Ed eccoci qui, al 21 febbraio. Il giorno dell’attacco hacker all’Italia. Scorrendo fra un post di propaganda e l’altro (incredibile quanto si possa postare in 24 ore), arriviamo ai post sull’attacco hacker.

A parte un pittoresco orso con baffi e cappello da cuoco (di nuovo, i pregiudizi sono difficili da scalfire), ci sono riferimenti al sesto pacchetto di aiuti militari e alla conferenza a Kiev della premier Meloni. Segue una decina di post, che va in una sola direzione: magnificare l’operato del gruppo hacker e sottolineare i risultati dell’attacco.

Una spirale di autocompiacimento e di immagini di orsi (alcune, se non fossero così offensive, sarebbero anche carine) che però nascondono un interrogativo di base: perché festeggiare? Nessun dato è stato rubato. I portali sono stati sovraccaricati, ma non chiusi. La risposta delle autorità è stata esemplare.

Cyber-reality show

Malgrado questo, il collettivo trova ragioni per festeggiare, in un post del 23 febbraio:

“La ‘polizia’ italiana, un mese dopo il nostro viaggio nel loro Paese, ha aperto un’inchiesta contro il gruppo NoName 057(16). […] Che ne pensiamo? Non ce ne frega nulla, un crimine più o meno non cambia niente. Abbiamo distrutto i russofobi, continueremo a farlo. Gloria alla Russia!”

Possiamo però dire che l’attacco hacker all’Italia, per quanto pericoloso e inquietante nelle sue modalità, si è trasformato solo in un’ennesima occasione di propaganda e autoincensamento rispetto all’operato del Governo russo. Una dichiarazione di potenza che nasconde un sistema di echo chamber in cui non è tanto importante quello che succede, ma quanto gli avvenimenti siano confermativi di una superiorità russa che, almeno in questo caso, non si è vista.

In compenso, mai abbassare la guardia. Il caso dell’hacktivisti filorussi Killnet contro l’agenzia delle entrate o quello di pochi giorni fa contro il sistema Vware Exsi (di cui abbiamo parlato di recente) stanno a dimostrare quanto vulnerabili possiamo essere di fronte a questi attacchi.

Camillo Cantarano
Camillo Cantarano
Ho sempre avuto le idee chiare: ho una laurea triennale storia medievale e sono vissuto a Parigi, quindi adesso lavoro nell’ambito di comunicazione e giornalismo a Roma. In mezzo, ho studiato giornalismo, ho lavorato su mondo crypto e criminalità, ho scritto un po’ e ho accumulato tante esperienze significative. Non mi spaventa scrivere di nessun argomento, a parte “scrivi qualcosa su di te”

Potrebbe piacerti anche

Cybersecurity, arriva la NIS 2: cosa cambia per le infrastrutture critiche e come Spindox aiuta i suoi clienti

Cybersecurity, arriva la NIS 2: cosa cambia per le infrastrutture critiche e come Spindox aiuta i suoi clienti

Dal 17 ottobre 2024 la NIS 2 è pienamente vigente. La direttiva introduce nuove regole per la sicurezza informatica delle infrastrutture critiche e dei servizi essenziali in Europa. Le aziende nei settori energetico, sanitario, delle telecomunicazioni e altri sono chiamate ad adeguarsi a standard più elevati. Chi è impattato, i rischi di non conformità e il ruolo di Spindox nell’aiutare i clienti a migliorare la propria sicurezza.