Guerre di Rete - Gli attacchi ai siti italiani
Il gruppo Killnet e dintorni. Altre notizie dal fronte cyber.
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.133 - 15 maggio 2022
Ricordo che questa newsletter (che oggi conta più di 10mila iscritti - ma molti più lettori, essendo pubblicata anche online - e oltre 500 sostenitori) è gratuita e del tutto indipendente, non ha mai accettato sponsor o pubblicità, e viene fatta nel mio tempo libero. Se vi piace potete contribuire inoltrandola a possibili interessati, o promuovendola sui social. Molti lettori sono diventati sostenitori facendo una donazione. La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista degli oltre 500 donatori.
In più, a marzo il progetto si è ingrandito con un sito di informazione cyber, GuerrediRete.it. Qui spieghiamo il progetto. Qui l’editoriale di lancio del sito.
In questo numero:
- Siti italiani sotto attacco
- Il gruppo Killnet
- Rider e diritti
- Altro
GUERRA IN UCRAINA
Siti italiani sotto attacco
L’11 maggio alcuni siti governativi e istituzionali italiani (oltre ad altri privati) vanno offline o sembrano avere alcuni problemi. Tra questi “quello del Senato, quello dell'Istituto superiore di sanità e quello dell'Automobile club italiano”, scrive AGI. “Irraggiungibile anche il portale della Difesa”, anche se lo Stato Maggiore avrebbe poi precisato che si sarebbe trattata di una “manutenzione” pianificata da tempo. In pochi minuti viene riferito su più media che all’origine del disservizio sarebbe un attacco di negazione del servizio (che sovraccarica le risorse di un sito mandandolo offline) proveniente da un gruppo russo o filorusso.
In effetti nelle stesse ore nel maggiore canale Telegram di un gruppo russo già noto, Killnet, i riferimenti a quanto sta succedendo in Italia sono espliciti, come segnalato da Guerre di Rete, con anche minacce all’Eurovision. In un altro dei suoi canali, Legion Russia, erano stati anche riportati gli obiettivi italiani, i target da colpire, tra cui l’Istituto superiore di sanità, l’IMT di Lucca, il Senato ecc.
Successivamente sul canale centrale di Killnet sono apparsi altri messaggi curiosi, sarcastici e minacciosi, come quello indirizzato ai media italiani e spagnoli secondo il quale non ci sarebbe stato un attacco ai due Paesi, ma “la nostra Legione conduce esercizi cyber militari nei vostri Paesi per migliorare le sue capacità. Tutto succede in modo simile alle vostre azioni. Italiani e spagnoli stanno imparando a uccidere in Ucraina. La nostra Legione sta imparando a uccidere i vostri server!”.
Onestamente non sono una fan dello spaccare il capello in quattro con questo genere di “hacktivismo” (falso o genuino che sia), nel fare l’esegesi di comunicazioni confuse e mal tradotte, o delle sfumature di chi è chi. Il punto, anche solo leggendo tutta l’attività dei loro canali (non avevo niente di meglio da fare…), mi sembra evidente: Killnet è in questo momento il motore di una serie di attività di hacking gestite in vari gruppi o sottogruppi, per ora essenzialmente dimostrative (DDoS), che si articolano in una quantità (anche volutamente fuorviante) di canali e squad, micro team, e via dicendo, e che sono orientate a colpire la Nato (primo obiettivo) e altri Paesi che stanno sostenendo l’Ucraina. La modalità scelta è quella hacktivista, che si articola in vari canali, anche aperti a chiunque, e che ricalca da vicino non solo i vari collettivi di Anonymous ma anche l’IT Army ucraino. È la risposta russa, “non governativa" o presunta tale, a questi gruppi e alla loro capacità di attrazione, anche simbolica.
Ma da dove arriva Killnet?
Legion Russia è un canale Telegram strettamente legato a Killnet (anzi, “un progetto di Killnet” è scritto nella intro al canale) nato il 28 aprile 2022. Questo è un gruppo di volontari specializzati nei DDoS, spiega uno dei primi messaggi postati nel canale e firmato da Killnet. Ed è proprio Killnet a essere citato in un recente alert della CISA (l’agenzia Usa per la cybersicurezza e la protezione delle infrastrutture critiche), insieme ad altri “gruppi cybercriminali allineati con la Russia”, considerati una minaccia a organizzazioni che gestiscono infrastrutture critiche. A marzo Killnet aveva eseguito un attacco DDoS contro un aeroporto americano in risposta al sostegno all’Ucraina, scrive ancora CISA. A maggio la società di cybersicurezza Checkpoint lo definisce “un gruppo hacktivista pro-russo” cha ha condotto una serie di attacchi DDoS contro siti pubblici romeni gestiti da entità statali.
Il primo messaggio pubblico di Killnet (che fino allora, come riferisce un vecchio articolo di The Record, è un gruppo quasi sconosciuto o di cui si sa poco) appare sotto forma di video il primo marzo, pochi giorni dopo l’invasione dell’Ucraina, in cui è netta la presa di posizione con la Russia, insieme a un messaggio ostile contro Anonymous. Ma il suo canale principale su Telegram era già nato a fine gennaio e allora si configurava più come un classico gruppo cybercriminale specializzato in DDoS.
Il 25 febbraio però, a guerra appena iniziata, c’è un cambio di tono, nel canale compaiono i primi messaggi contro le azioni di Anonymous contro la Russia. Il 26 febbraio nasce e viene pubblicizzato il canale Cyber_war, che raduna hacker filorussi. Tutto ciò mentre, sempre su Telegram, nascevano e crescevano anche i canali dell’IT Army ucraino, promosso via Twitter dagli stessi ministri del governo di Kiev (dell’IT Army ucraino ho scritto più volte, ad esempio qua) che portavano a una ondata di attacchi contro siti russi.
Col tempo le attività aggregate attorno a Killnet crescono sempre di più. E gli attacchi sembrano alzare il tiro. A fine aprile come detto nasce anche il canale Legion Russia. I DDoS colpiscono i siti di vari Paesi. Poco prima dell’Italia erano stati presi di mira siti tedeschi, in particolare il ministero della Difesa, il Bundestag, la polizia federale e altre agenzie, riferisce DW. Prima ancora, la Romania (con tanto di risposta Anonymous Romania, come avevo raccontato nella scorsa newsletter in cui parlavo proprio di Killnet). Altri target sono siti della Repubblica Ceca, Polonia, Estonia, Nato. Nei giorni scorsi, dopo il caso italiano, a essere messi nel mirino una grande quantità di siti della Lettonia.
Ma come hanno funzionato i suoi attacchi all’Italia?
“Dalle informazioni che loro stessi hanno condiviso e che sono state internamente tradotte, sembrerebbe che "MIRAI" (che è il sottogruppo che si sta attualmente occupando dell'Italia) usi la sua stessa botnet per eseguire questi attacchi”, commenta a Guerre di Rete Emanuele De Lucia, direttore del gruppo di ricerca Cluster25. “Quindi noi supportiamo l'ipotesi che Mirai abbia utilizzato la sua botnet per gli attacchi contro Italia. Per quanto riguarda la "potenza" di questi attacchi, essi possono essere effettivamente così potenti da causare la messa offline del sito bersaglio. Crediamo che a un certo momento l'Italia abbia deciso di mitigare impedendo al traffico internazionale di raggiungere i siti bersaglio (quindi si raggiungevano solo dall'Italia)”. Più in generale, commenta ancora De Lucia “la maggior parte dei sistemi di mitigazione DDoS si comporta molto bene nel mitigare attacchi "volumetrici" (dunque basati sul rapporto pacchetti/secondo inviati). Mitigare attacchi DDoS di tipo "applicativo" (dunque mirati a sovraccaricare il servizio di frontend, come per esempio il server web/http) è più complesso per questi sistemi. Molti attacchi utilizzano un misto fra le due tipologie per raggiungere il massimo livello di efficacia”.
In effetti anche il CSIRT (il team di risposta agli incidenti) dell’Agenzia per la cybersicurezza nazionale in un bollettino spiega che, in merito agli attacchi dell’11 maggio, “è stato rilevato che gli stessi sono stati condotti utilizzando tecniche che differiscono dai più comuni attacchi DDOS di tipo volumetrico passando inosservati quindi ai sistemi di protezione comunemente utilizzati sul mercato contro questo tipo di attacchi poiché avvengono utilizzando una banda limitata. Tali tecniche DDOS, definite di tipo applicativo, mirano a saturare le risorse dei sistemi che erogano i servizi tra cui i server web”.
Proprio questa mattina è poi arrivato un comunicato della Polizia in cui si dice che sarebbero stati “neutralizzati” nuovi attacchi informatici “del collettivo di killnet e la sua propaggine “Legion”, scrive la Postale, contro l’Eurovision. E ancora: ”Sono stati mitigati, in collaborazione con la direzione Ict Rai e Eurovision TV, diversi attacchi informatici di natura DDOS diretti verso le infrastrutture di rete durante le operazioni di voto e l’esibizione canora. Dall’analisi delle evidenze sono stati individuati dal CNAIPIC della Polizia Postale numerosi “PC-Zombie” utilizzati per l’attacco informatico”.
CYBER FRONT
Gli Usa attribuiscono l’attacco a Viasat alla Russia
Gli Stati Uniti hanno ufficialmente attribuito l’attacco Viasat alla Russia. “La Russia ha lanciato cyber attacchi a fine febbraio contro le reti di comunicazioni satellitari commerciali per interrompere il sistema di comando e controllo ucraino durante l’invasione, e quelle azioni hanno avuto impatto su altri Paesi europei”. Il comunicato cita anche l’interruzione del servizio internet per migliaia di cittadini europei e per alcune turbine eoliche, come avevo raccontato in newsletter.
CYBERCRIMINE
Un attacco ransomware lanciato dal Conti group obbliga la Costa Rica a dichiarare lo stato di emergenza - The Record
Del Conti Group abbiamo scritto sul sito di Guerre di Rete. Leggi Startup malware: come lavorano le gang cybercriminali
GIG ECONOMY e DIRITTI
Diritti per rider e autisti: ecco il piano del Parlamento europeo
A dicembre, la Commissione europea ha presentato una proposta legislativa per regolamentare il mercato del lavoro delle piattaforme, formato dai lavoratori che dipendono dalle varie app come gli autisti di Uber e i riders di Deliveroo, scrive Italian Tech. “Al centro della proposta della Commissione c'è la cosiddetta presunzione legale relativa di vincolo di subordinazione, una misura che classificherebbe automaticamente come dipendenti i lavoratori che rientrano in determinati criteri, a meno che la piattaforma non dimostri il contrario.” Le novità sul testo nella bozza di rapporto presentata alla commissione per l'occupazione e gli affari sociali del Parlamento europeo dalla relatrice italiana.
Al lancio del sito Guerre di Rete avevamo affrontato proprio questo tema con l’articolo Rider, come ti calcolo il punteggio.
STRUMENTI
Uno strumento di Bellingcat per analizzare gli hashtag su TikTok
Bellingcat
APPROFONDIMENTI
CRYPTOVALUTE
Storia di Terra, la criptovaluta che si è polverizzata
Spariti nel nulla 60 miliardi di capitalizzazione e investitori sul lastrico a causa del tracollo del progetto, basato su un sistema di due criptovalute, TerraUSD e Luna, collegate tra di loro - Wired Italia
Cautionary Tales from Cryptoland - HBR
Leggi anche il nostro articolo della scorsa settimana su Guerre di Rete: Perché il Web3 ci fa litigare
CULTURA HACKER
Da sovversivi a CEO: come hacker radicali hanno costruito l’attuale industria della cybersicurezza - in inglese su README
→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social.
O diventa un suo sostenitore facendo una donazione. La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito di notizie, una pagina Facebook, un profilo Twitter, Linkedin e Instagram. Seguiteli! I podcast della newsletter (che escono il lunedì in genere) li trovate sulle principali piattaforme (Apple Podcasts; Spotify; Google Podcast; Anchor.fm).