Cyber Guerra

Attacco cyber dalla Russia all’Italia: down siti Senato, Difesa, perché è evento grave

Attaccati una lista di siti web istituzionali italiani, in quello che sembra essere il primo attacco cyber contro l’Italia, attorno alla guerra Russia Ucraina. L’allerta deve essere alzata

11 Mag 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

È probabilmente il primo attacco cyber all’Italia, dichiarato, connesso alla guerra in Ucraina, come vendetta della Russia per il nostro appoggio al Paese invaso. 

Legion, nuovo gruppo di cyber attivismo schierato con la Russia, ha portato a termine con successo un DDoS contro obiettivi strategici italiani. Sono risultati inaccessibili per alcune ore oggi i siti web istituzionali di Senato, ACI, Istituto Superiore di Sanità e Ministero della Difesa.

Il gruppo Legion sferra attacco DDoS contro siti web italiani

Sembra essere il primo attacco pianificato ed effettivamente portato a termine, nello scenario cyber attorno alla guerra della Russia contro l’Ucraina.

WEBINAR
25 Maggio 2022 - 14:30
Cybersecurity 360Summit: nuove strategie, nuove minacce e nuove difese!
Sicurezza
Sicurezza dei dati

Con questa gravità lo sta trattando l’Italia: indaga l’antiterrorismo di Roma.

Tra i tanti gruppi di hacktivismo in attività dal 24 febbraio, in risposta all’inizio dell’invasione ucraina, l’ultimo nato sembra essere Legion: un esiguo gruppo abbastanza agli albori e tecnicamente ancora poco organizzato, se paragonato ad altri attualmente in attività.

Nel pomeriggio dell’11 maggio sul canale Telegram del gruppo è apparso l’invito ad attaccare le istituzioni italiane lanciando DDoS.

Tra i siti web attaccati e resi indisponibili si riferiscono target per Ministero della Difesa, Istituto Superiore di Sanità, ACI e Senato. Importante però far notare che l’attacco è stato decisamente poco sofisticato e alquanto disorganizzato. Nonostante questo gli attaccanti sono riusciti per poche ore a tenere irraggiungibili questi siti web istituzionali, fatto grave per la sensibilità con le quali le infrastrutture che proteggono le istituzioni italiane, possano cedere anche ad attacchi così disorganizzati e poco complessi.

Con le tecnologie attuali un attacco DDoS di queste dimensioni sembra essere qualcosa di superabile. 

Gli attaccanti si sono serviti di una botnet Mirai, basata – com’è noto – su computer infetti e resi zombie dal malware.

Ricordiamo che dall’inizio della guerra attacchi Ddos dalla Russia a organizzazioni ucraine sono all’ordine del giorno. E si assistono anche ad attacchi e defacement da attività ucraini a organizzazioni russe.

Perché è un evento grave

Attacco poco potente, danni di poco conto, quindi.

Ma questo non ci deve fare sottovalutare la portata dell’evento, che appunto le autorità stanno trattando con la massima attenzione. Resta infatti di fondamentale importanza il fatto che l’Italia sia per la prima volta diventata un bersaglio di attaccanti che muovono le proprie operazioni in seno alla guerra ucraina. Come sottolinea l’esperto di cyber security Pierluigi Paganini in un commento a Cybersecurity360, “l’attacco ai siti italiani parrebbe essere stato non complicato. Quello che preoccupa e che siamo stati presi di mira da parte di gruppi criminali di origine russa organizzazioni italiane. Nell’elenco visibile sulla chat Telegram del gruppo che ha rivendicato l’attacco vi sono una lista di obiettivi tra cui istituzioni sanitarie”. E’ dunque di fondamentale importanza avere coscienza del fatto che attaccanti collegati al regime russo, abbiano preso di mira anche l’Italia, tra i vari target oltre confine.

Per quanto riguarda la rivendicazione dell’attacco al Ministero della Difesa, operata sempre da Legion, Paganini ci riferisce che “oltre all’attacco parrebbe essere stata programmata un’attività di manutenzione quindi secondo le informazioni in mio possesso, i due eventi non sono correlati”.

“Non possiamo sottovalutare questi attacchi che potrebbero prendere di mira infrastrutture critiche nazionali e causare seri problemi. È una fase critica è urgente l impegno di istituzioni governative ed aziende private”, conclude Paganini.

Gli effetti di una minaccia cyber

Danni eventuali a parte – che in questo caso, ripetiamo, non ci sono stati sull’operatività delle istituzioni colpite – un attacco Ddos come questo ha una valenza dimostrativa. Come i defacement di siti.

Obiettivo è destabilizzare il nemico, farlo sentire minacciato, seminare dubbi e sfiducia nella popolazione nei confronti delle istituzioni. Tutto questo proprio in una fase in cui non tutta la politica è allineata con il Governo nel sostegno da dare all’Ucraina.

Si può considerare un Ddos di questo tipo come un’arma all’interno di un arsenale più ampio e sofisticato. 

Ormai questa guerra ha reso chiaro a tutti che gli strumenti cyber adoperati contro un Paese hanno un’utilità varia che va dalla infowar (fake news) a tentativi di demoralizzazione (ddos, defacement) fino a danni a infrastrutture critiche e computer di aziende, istituzioni per minare l’operatività (con wiper e con ddos, che hanno anche un effetto demoralizzante).

Arrivano le minacce dirette alla nazione

Un aggiornamento nella mattinata del 12 maggio, fa apprendere sia che Legion e Killnet siano di fatto una squadra con stessi obiettivi, presumibilmente il primo costola staccatasi dal secondo, sia che l’Italia è diventato bersaglio del marasma di attacchi cyber che sta contraddistinguendo questo periodo fatto di prese di posizione pro Ucraina (come l’Italia) o pro Russia.

Sul canale Telegram di Killnet arriva un vero e proprio messaggio di minaccia alle nostre istituzioni.

Il post è indirizzato ai media italiani, in primo luogo coloro che hanno attribuito a Killnet la responsabilità di questo attacco. Nell’esposizione subito successiva si minaccia appunto di essere quasi pronti all’offensiva decisiva contro l’Italia.

Il nostro [gruppo] Legion conduce esercitazioni informatiche militari nei vostri paesi [rivolgendosi a Italia e Spagna] al fine di migliorare le loro abilità. Tutto accade in modo simile alle vostre azioni: gli italiani e gli spagnoli impareranno come uccidere le persone in Ucraina. Il nostro Legion sta imparando a uccidere i tuoi server! Devi capire che questo è allenamento. Non fare troppo rumore, siamo stufi della quantità di notizie sugli attacchi al Senato. Ti do la mia parola d’onore che il nostro esercito informatico finirà presto l’addestramento nel tuo territorio e passeremo all’offensiva. Accadrà all’improvviso e molto rapidamente”.

Un messaggio dal contenuto prettamente minatorio, direttamente dalle menti criminali di uno dei gruppi pro Russia più attivi dall’inizio della guerra in Ucraina.

Chi sono gli hacktivisti del gruppo Legion?

L’obiettivo primario è colpire la NATO, ma nel frattempo fanno pratica con tante aziende target, sferrando gli ormai noti attacchi DDoS. Legion è un gruppo di attivisti cyber, hacktivisti, che volontariamente uniscono le loro forze per “combattere” questa guerra schierati con la Russia. Il gruppo sembra esser stato costituito da attivisti legati alla Russia, non prima della fine del mese di aprile. Di recente creazione vede la partecipazione di oltre 3600 seguaci (niente a confronti di altri gruppi e collettivi ben noti, ormai consolidati con centinaia di migliaia di persone al seguito).

Inizialmente l’attività era concentrata contro strutture della NATO, avanzando attacchi alimentati anche dalla loro vicinanza con un altro gruppo più popolare (sempre pro Russia), denominato Killnet (oltre 61.000 utenti!). Strutture della NATO ben precisate dal gruppo, gli attacchi, come per altre realtà di questo tipo, vengono pianificati a tavolino e prevedono target ben specifici, con indirizzi IP, sottodomini e porte da bombardare, ben definite. Tutti dettagli condivisi appunto, tra i membri del gruppo, su canale di Telegram.

Ci sono attacchi contro la Polonia, con coinvolgimento massiccio, anche in questo compito, del gruppo “fedele” KILLNET. Nello specifico contro le forze polacche, gli attacchi si sono concentrati ai sistemi delle Ferrovie di stato della Polonia, ma anche in Romania con l’internazionale Rompetrol.

Per tornare negli Stati Uniti invece, più di recente, le sono state riunite forze per colpire l’infrastruttura di uno dei più importanti produttori di armi (rivendute anche per l’Ucraina, ovviamente), difesa aerea e strategica del mondo: Lockheed Martin.

Tra le ultime notizie inoltre, è recente la loro ricerca di nuovo personale volontario da inserire nel proprio organico di combattimento cyber. La ricerca è accompagnata da una dettagliata lista di curricula di cui si necessita, in base alle competenze.

WHITEPAPER
Cosa fare per migliorare l’analisi dei contenuti abbassando i costi operativi?
Datacenter
Software
@RIPRODUZIONE RISERVATA

Articolo 1 di 5