Da Guerre di Rete – newsletter di notizie cyber a cura di Carola Frediani

L’11 maggio alcuni siti governativi e istituzionali italiani (oltre ad altri privati) vanno offline o sembrano avere alcuni problemi. Tra questi “quello del Senato, quello dell’Istituto superiore di sanità e quello dell’Automobile club italiano”, scrive AGI. “Irraggiungibile anche il portale della Difesa”, anche se lo Stato Maggiore avrebbe poi precisato che si sarebbe trattata di una “manutenzione” pianificata da tempo. In pochi minuti viene riferito su più media che all’origine del disservizio sarebbe un attacco di negazione del servizio (che sovraccarica le risorse di un sito mandandolo offline) proveniente da un gruppo russo o filorusso.

In effetti nelle stesse ore nel maggiore canale Telegram di un gruppo russo già noto, Killnet, i riferimenti a quanto sta succedendo in Italia sono espliciti, come segnalato da Guerre di Rete, con anche minacce all’Eurovision. In un altro dei suoi canali, Legion Russia, erano stati anche riportati gli obiettivi italiani, i target da colpire, tra cui l’Istituto superiore di sanità, l’IMT di Lucca, il Senato ecc.

Successivamente sul canale centrale di Killnet sono apparsi altri messaggi curiosi, sarcastici e minacciosi, come quello indirizzato ai media italiani e spagnoli secondo il quale non ci sarebbe stato un attacco ai due Paesi, ma “la nostra Legione conduce esercizi cyber militari nei vostri Paesi per migliorare le sue capacità. Tutto succede in modo simile alle vostre azioni. Italiani e spagnoli stanno imparando a uccidere in Ucraina. La nostra Legione sta imparando a uccidere i vostri server!”.

Onestamente non sono una fan dello spaccare il capello in quattro con questo genere di “hacktivismo” (falso o genuino che sia), nel fare l’esegesi di comunicazioni confuse e mal tradotte, o delle sfumature di chi è chi. Il punto, anche solo leggendo tutta l’attività dei loro canali (non avevo niente di meglio da fare…), mi sembra evidente: Killnet è in questo momento il motore di una serie di attività di hacking gestite in vari gruppi o sottogruppi, per ora essenzialmente dimostrative (DDoS), che si articolano in una quantità (anche volutamente fuorviante) di canali e squad, micro team, e via dicendo, e che sono orientate a colpire la Nato (primo obiettivo) e altri Paesi che stanno sostenendo l’Ucraina.

La modalità scelta è quella hacktivista, che si articola in vari canali, anche aperti a chiunque, e che ricalca da vicino non solo i vari collettivi di Anonymous ma anche l’IT Army ucraino. È la risposta russa, “non governativa” o presunta tale, a questi gruppi e alla loro capacità di attrazione, anche simbolica.

Ma da dove arriva Killnet?

Legion Russia è un canale Telegram strettamente legato a Killnet (anzi, “un progetto di Killnet” è scritto nella intro al canale) nato il 28 aprile 2022. Questo è un gruppo di volontari specializzati nei DDoS, spiega uno dei primi messaggi postati nel canale e firmato da Killnet. Ed è proprio Killnet a essere citato in un recente alert della CISA (l’agenzia Usa per la cybersicurezza e la protezione delle infrastrutture critiche), insieme ad altri “gruppi cybercriminali allineati con la Russia”, considerati una minaccia a organizzazioni che gestiscono infrastrutture critiche. A marzo Killnet aveva eseguito un attacco DDoS contro un aeroporto americano in risposta al sostegno all’Ucraina, scrive ancora CISA. A maggio la società di cybersicurezza Checkpoint lo definisce “un gruppo hacktivista pro-russo” cha ha condotto una serie di attacchi DDoS contro siti pubblici romeni gestiti da entità statali.

Il primo messaggio pubblico di Killnet (che fino allora, come riferisce un vecchio articolo di The Record, è un gruppo quasi sconosciuto o di cui si sa poco) appare sotto forma di video il primo marzo, pochi giorni dopo l’invasione dell’Ucraina, in cui è netta la presa di posizione con la Russia, insieme a un messaggio ostile contro Anonymous. Ma il suo canale principale su Telegram era già nato a fine gennaio e allora si configurava più come un classico gruppo cybercriminale specializzato in DDoS.
Il 25 febbraio però, a guerra appena iniziata, c’è un cambio di tono, nel canale compaiono i primi messaggi contro le azioni di Anonymous contro la Russia. Il 26 febbraio nasce e viene pubblicizzato il canale Cyber_war, che raduna hacker filorussi. Tutto ciò mentre, sempre su Telegram, nascevano e crescevano anche i canali dell’IT Army ucraino, promosso via Twitter dagli stessi ministri del governo di Kiev (dell’IT Army ucraino ho scritto più volte, ad esempio qua) che portavano a una ondata di attacchi contro siti russi.

Col tempo le attività aggregate attorno a Killnet crescono sempre di più. E gli attacchi sembrano alzare il tiro. A fine aprile come detto nasce anche il canale Legion Russia. I DDoS colpiscono i siti di vari Paesi. Poco prima dell’Italia erano stati presi di mira siti tedeschi, in particolare il ministero della Difesa, il Bundestag, la polizia federale e altre agenzie, riferisce DW. Prima ancora, la Romania (con tanto di risposta Anonymous Romania, come avevo raccontato nella scorsa newsletter in cui parlavo proprio di Killnet). Altri target sono siti della Repubblica Ceca, Polonia, Estonia, Nato. Nei giorni scorsi, dopo il caso italiano, a essere messi nel mirino una grande quantità di siti della Lettonia.

Ma come hanno funzionato i suoi attacchi all’Italia?

“Dalle informazioni che loro stessi hanno condiviso e che sono state internamente tradotte, sembrerebbe che “MIRAI” (che è il sottogruppo che si sta attualmente occupando dell’Italia) usi la sua stessa botnet per eseguire questi attacchi”, commenta a Guerre di Rete Emanuele De Lucia, direttore del gruppo di ricerca Cluster25.  “Quindi noi supportiamo l’ipotesi che Mirai abbia utilizzato la sua botnet per gli attacchi contro Italia. Per quanto riguarda la “potenza” di questi attacchi, essi possono essere effettivamente così potenti da causare la messa offline del sito bersaglio.

Crediamo che a un certo momento l’Italia abbia deciso di mitigare impedendo al traffico internazionale di raggiungere i siti bersaglio (quindi si raggiungevano solo dall’Italia)”. Più in generale, commenta ancora De Lucia “la maggior parte dei sistemi di mitigazione DDoS si comporta molto bene nel mitigare attacchi “volumetrici” (dunque basati sul rapporto pacchetti/secondo inviati). Mitigare attacchi DDoS di tipo “applicativo” (dunque mirati a sovraccaricare il servizio di frontend, come per esempio il server web/http) è più complesso per questi sistemi. Molti attacchi utilizzano un misto fra le due tipologie per raggiungere il massimo livello di efficacia”.

In effetti anche il CSIRT (il team di risposta agli incidenti) dell’Agenzia per la cybersicurezza nazionale in un bollettino spiega che, in merito agli attacchi dell’11 maggio, “è stato rilevato che gli stessi sono stati condotti utilizzando tecniche che differiscono dai più comuni attacchi DDOS di tipo volumetrico passando inosservati quindi ai sistemi di protezione comunemente utilizzati sul mercato contro questo tipo di attacchi poiché avvengono utilizzando una banda limitata. Tali tecniche DDOS, definite di tipo applicativo, mirano a saturare le risorse dei sistemi che erogano i servizi tra cui i server web”.

Proprio questa mattina è poi arrivato un comunicato della Polizia in cui si dice che sarebbero stati “neutralizzati” nuovi attacchi informatici “del collettivo di killnet e la sua propaggine “Legion”, scrive la Postale, contro l’Eurovision.  E ancora: ”Sono stati mitigati, in collaborazione con la direzione Ict Rai e Eurovision TV, diversi attacchi informatici di natura DDOS diretti verso le infrastrutture di rete durante le operazioni di voto e l’esibizione canora. Dall’analisi delle evidenze sono stati individuati dal CNAIPIC della Polizia Postale numerosi “PC-Zombie” utilizzati per l’attacco informatico”.

Foto Ministero Difesa Ucraino