Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

DDOS

Cosa sappiamo degli attivisti filo-russi NoName057

NoName057, che ha di recente fatto attacchi DDos a siti istituzionali italiani, nasce dall’inizio dell’escalation militare sull’Ucraina. La sua impostazione principale è quella di movimentare il traffico di rete generando attacchi DDoS, ma la sua infrastruttura è sottodimensionata e statica. Difficile che riesca a fare seri danni

Pubblicato il 23 Feb 2023

Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

NoName057 attivisti filo-russi

NoName057(16) – autore dei recenti attacchi contro siti italiani –  è il nome con il quale si identifica uno dei gruppi di attivisti filo-russi, emersi a partire dal marzo 2022 in occasione dell’inizio dell’invasione russa dell’Ucraina.

NoName057, insieme ad altri nati più o meno contestualmente, opera nel cybercrime rivendicando la propria responsabilità su attacchi di tipo DDoS (Distributed Denial of Service) contro obiettivi che hanno relazioni politiche con la NATO.

DDoS di filorussi all’Italia, giù alcuni siti istituzionali: “Vendetta per visita Meloni a Kiev”

Per quanto riguarda l’operatività del gruppo, in totale Avast ha osservato tra agosto e novembre 2022, circa 1.400 tentativi di attacco DDoS da parte dei membri del progetto DDosia, di cui 190 hanno avuto successo, dando al gruppo una percentuale di successo di circa il 13%.

Come è strutturato il gruppo NoName057(16)

Si tratta di un insieme di volontari che, a proprie spese, cercano di tenere in piedi un’infrastruttura utilizzata per l’esecuzione degli attacchi DDoS mediante diversi strumenti malevoli. Come detto, la loro attività è iniziata e si è evoluta contestualmente alla guerra in Ucraina.

Tra le sue attribuzioni, il gruppo vanta un’ampia gamma di organizzazioni, inclusi tribunali, banche, istituti scolastici, agenzie governative e servizi di trasporto, per i quali ha rivendicato sempre attacchi DDoS.

L’infrastruttura del gruppo

Allo stato attuale, secondo un’analisi di SentinelLabs, NoName057(16) riesce a mantenere in piedi un’infrastruttura di gestione e monitoraggio degli attacchi, con almeno sei host noti.

Tutto parte dal server C2 “31.13.195.87” in hosting presso Neterra, un provider in Bulgaria dal quale, con un’indagine di reverse IP, è stato possibile recuperare i domini associati: 

  • zig35m48zur14nel40[.]myftp.org
  • tom56gaz6poh13f28[.]myftp.org

Da questo server si sono osservate un elevato numero di connessioni in uscita verso 87.121.52.9, altro nodo della rete, presumibilmente associato alla gestione dei bot Telegram, visto che effettua connessioni a intervalli regolari a “api.telegram[.]org“.

Da questo elemento in poi si esce dal provider Neterra e si passa a CLOUDASSETS, in Russia, nel quale si trovano altri host tra cui:

  1. gestione MongoDB. Probabilmente i dati trasferiti dall’infrastruttura di attacco vengono archiviati in un database;
  2. gestione RabbitMQ e Redis. Si può pensare che venga utilizzato per memorizzare eventi/comandi dall’operatore dell’infrastruttura;
  3. gestione di Prometheus Node Exporter. Una piattaforma utilizzata per raccogliere metriche/avvisi da server remoti.

Questa infrastruttura di monitoraggio/esecuzione è collegata poi alla rete, anch’essa gestita su base volontaria, degli script di attacco. Dalle ultime indagini sembra essere formata da una sessantina di nodi attivi.

La piattaforma malevola

Lo strumento utilizzato dai volontari membri attivi di questo gruppo, quindi auto-sostenuti e che uniscono le proprie forze economiche per tenere in piedi l’infrastruttura, è sempre stato Bobik. Ora superato da un nuovo strumento denominato DDosia.

Lo strumento è stato concepito e diffuso utilizzando inizialmente le potenzialità di GitHub, a partire dal servizio Pages, per la pubblicazione delle pagine Web relative allo strumento “dddosia.github[.]io”, ora ovviamente segnalato e bloccato per violazione dei termini d’uso.

Il codice condiviso ha dato modo di poter analizzarne il funzionamento e conoscerne le due implementazioni fornite: un’implementazione Python e un’implementazione Golang. Un file di configurazione, gestito direttamente dall’operatore permette l’immissione dei target da colpire e le richieste HTTP espressamente definite a mano. Il toolkit, dunque, prevede una certa analisi preliminare del target, da effettuare sul sito Web preso di mira, di modo da poterne riportare le esatte richieste.

Da questa analisi emerge anche un ulteriore dettaglio che giustifica un certo aumento della già bassa percentuale di successo negli attacchi condotti da NoName057(16). In effetti, si è notato che negli ultimi mesi, tra i target presi di mira, si elencano richieste su più sottodomini afferenti allo stesso dominio, normalmente ospitati sotto la stessa macchina. In questo modo lo stress viene intensificato perché moltiplicato su più connessioni in entrata, piuttosto che su una singola.

Le dimensioni dell’infrastruttura

In conclusione, si può analizzare questa infrastruttura come abbastanza limitata e statica. In effetti, ci sono due set di macchine maggiormente attive negli attacchi esaminati:

  1. 5.182.39.0/24 (38 IP) associati a hosting Stark Industries Solutions Ltd (Regno Unito)

  2. 94.131.106.0/24 (21 IP) associati a hosting MIRhosting (Paesi Bassi)

che coprono quasi il 98% del traffico totale rilevato.

Questo è sufficiente a dedurre che gli impatti più ampi di questi attacchi rimarranno probabilmente limitati a condizione che non vi sia un’importante escalation delle attività o una crescita dell’infrastruttura di attacco disponibile.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • nis 2

  • L'APPROFONDIMENTO

    Direttiva NIS 2 per la sicurezza delle infrastrutture critiche: quando e a chi si applica, le sanzioni

    27 Ago 2025

    di Cristina Spagnoli

    Condividi
  • Dati off-chain e on-chain: come possono prevenire le frodi in criptovaluta

  • campagna di phishing

    Truffe di criptovalute su X, nel mirino account di alto profilo: come proteggersi

    19 Feb 2025

    di Mirella Castigli

    Condividi
  • Sistemi ibridi Active Directory ed Entra ID: come mitigare i rischi legati all'identità

  • Il Report

    Sistemi ibridi Active Directory ed Entra ID: come mitigare i rischi legati all'identità

    16 Lug 2025

    di Mirella Castigli

    Condividi
  • Ransomware in Russia e Malesia: allarme rosso per la sicurezza delle auto

  • vulnerabilità

    PerfektBlue, 4 falle nel Bluetooth di Mercedes, Volkswagen, Skoda: come proteggersi

    17 Lug 2025

    di Mirella Castigli

    Condividi