CYBERSPAZIO. L’hacktivismo filo-russo di KillNet contro l’Italia

104

Continuano gli attacchi cibernetici contro i siti istituzionali italiani da parte di KillNet, collettivo cybercriminale filo-russo, che il 16 maggio scorso, attraverso un video messaggio diffuso sul proprio canale Telegram, ha dichiarato la guerra informatica contro dieci paesi NATO, tra cui l’Italia, che nel corso dell’attuale conflitto tra Russia e Ucraina hanno condannato le azioni di Putin, schierandosi a sostegno di Zelensky e della popolazione ucraina.

Le operazioni offensive, iniziate l’11 maggio sotto forma di mera esercitazione, hanno coinvolto i siti web del Ministero della Difesa, del Senato, dell’Istituto superiore di sanità, dell’ACI e della Polizia di Stato.

Ma chi sono gli hacker che minacciano un attacco globale?

Le prime tracce delle operazioni malevoli del collettivo risalgono a gennaio 2022, quando il gruppo ha annunciato su Telegram che la loro rete botnet (computer zombies infettati e controllati da remoto) fosse quasi pronta per essere operativa e lanciata sul mercato.

A muovere la cyber gang, dunque, erano sostanzialmente ragioni economiche, ma con lo scoppio del conflitto Russia-Ucraina le risorse del collettivo sono state successivamente destinate a sostenere l’hacktivismo pro Russia.

Al pari di Anonymous ma giocando sul fronte opposto, KillNet ha usato i propri canali informatici per reclutare hacker, e più in generale esperti IT di ogni tipo, che volessero unirsi al gruppo per contrastare i “nemici nazisti e russofobi” e difendere la causa del Cremlino.

Secondo quanto riportato da Cybersecurity360, la rete, che conta oggi circa 57mila iscritti, sarebbe organizzata in tre macro-filoni operativi: uno di attacco, uno di distribuzione/marketing ed infine un gruppo tecnico.

I primi attacchi sono stati registrati in Ucraina per poi rivolgersi anche contro i paesi NATO vicini, che sin da subito hanno teso la mano a Kiev, come Polonia, Lettonia, Estonia e Repubblica Ceca.

Inoltre, è attiva dagli ultimi giorni del mese di aprile Legion, una sorta di accademia informatica nata come costola di KillNet e strutturata attualmente in sei distaccamenti operativi, impegnati a sferrare attacchi coordinati nei confronti di specifici paesi NATO. I nomi delle squadre operative sono Zarya, Impulse, Mirai, Sakurajima, Kaijuk e Jacky.

Responsabile dei blackout che negli ultimi giorni hanno colpito in massa molti siti governativi italiani è il team Mirai. L’attacco avrebbe dovuto mettere fuorigioco per 48 ore una cinquantina di obiettivi tra ministeri, aziende, autorità di garanzia, media, organi giudiziari, ma ad oggi gli unici ad andare a segno sono stati quelli contro siti istituzionali, tra cui il Ministero degli Esteri, dei Beni Culturali, il Consiglio Superiore della Magistratura e l’Agenzia delle Dogane.

Per il momento la tipologia di attacchi prediletta da KillNet è di tipo DDoS (Distribuited Denial of Service), tecnica cyber finalizzata a paralizzare il servizio di una risorsa di rete sovraccaricandola di informazioni provenienti da più sorgenti delocalizzate.

L’Agenzia per la Cybersicurezza Nazionale (ACN) rassicura che nessuna informazione è stata violata. Ancorché pesante, l’offensiva cibernetica condotta dal collettivo contro l’Italia non sembra aver creato particolari danni o disagi, incidendo unicamente sull’accessibilità della rete. Gli attacchi, che non hanno compromesso alcuna infrastruttura critica, né la continuità della fornitura di servizi essenziali per i cittadini, paiono piuttosto perseguire uno scopo mediatico.

Tuttavia, come spiega ad Adnkronos Emanuele De Lucia, esperto di cyber intelligence che da mesi monitora le attività degli hacker filo-russi, i pirati di KillNet potrebbero “alzare il tiro”, cercando di compromettere l’integrità dei sistemi.

Nel frattempo, mentre l’ACN continua a monitorare con la massima attenzione le minacce cibernetiche nei confronti del Paese, il CSIRT ha pubblicato sul proprio portale un nuovo documento sulle possibile tecniche e misure di mitigazione utili a contrastare un attacco DDoS.

Ludovica Pelachini