L'ANALISI TECNICA

KillNet, chi è la cyber gang vicina al Cremlino che sta attaccando l’Italia

KillNet è un collettivo criminale filo-russo che è cresciuto moltissimo in poco tempo e che sta colpendo anche l’Italia in quanto sostenitrice dell’Ucraina nel conflitto contro la Russia e Paese NATO. Ecco un’analisi approfondita di quello che sappiamo e del suo modus operandi

16 Mag 2022
D
Emanuele De Lucia

Director of Cyber Intelligence presso Cluster25

Risalgono allo scorso gennaio 2022 le prime tracce delle operazioni malevoli del collettivo KillNet, la cyber gang che negli ultimi giorni sta prendendo di mira l’Italia causando il down dei siti della Difesa, del Senato, dell’Aci e, nella notte del 16 maggio 2022, anche del sito della Polizia di Stato.

Il loro primo messaggio sulla piattaforma Telegram è datato 23 gennaio 2022 quando hanno annunciato come la loro rete botnet fosse quasi pronta per essere operativa e lanciata sul mercato. KillNet, in effetti, ad oggi non è esattamente un collettivo monolitico ma più un accentratore di diverse gruppi e competenze.

Polizia di Stato, giù il sito: hacker filo-russi all’attacco dell’Italia

I dettagli della botnet KillNet

KillNet è originariamente nato per lo sviluppo di una botnet per attacchi DDoS che, secondo fonte Cluster25, potrebbe essere costituita da un numero di zombies che varia dai 500.000 ai 700.000 (per “zombies” si intende il numero di host infetti che possono essere utilizzati per attaccare gli obiettivi). Tale dimensione, calcolata sulla base del traffico di rete che la botnet riuscirebbe a generare secondo lo stesso collettivo (c.a. 2 Terabit) è più che sufficiente per mettere in difficoltà anche siti molto ben protetti.

WHITEPAPER
Costruire una VERA DATA STRATEGY: machine learning, sicurezza e valorizzazione del dato.
Amministrazione/Finanza/Controllo
Big Data

È dunque interessante notare che tale botnet è originariamente nata a scopo di lucro in quanto essa poteva tranquillamente essere affittata finché non è stato deciso di destinarla totalmente all’attivismo pro-Russia. Per la versione 2.0 i prezzi riportati variavano da 50 dollari per picchi di traffico fino a 30 GPBS a 3.000 dollari per picchi fino a 1 TBPS.

Gli attacchi attribuiti alla cyber gang

Il primo attacco ufficiale registrato del collettivo KillNet è stato contro il gruppo di hacktivisti Anonymous, subito dopo il loro ingresso dalla parte dell’Ucraina contro la Russia, il 25 febbraio 2022.

Si sono susseguiti, poi, attacchi verso l’Ucraina (prendendo di mira il sito del presidente del Paese) per poi spostarsi verso la Polonia, ingaggiando il principale hub mediatico polacco “POLANDHUB”. Entrambi questi attacchi sono stati effettuati il 26 febbraio 2022. Da questa data in poi KillNet è stato impegnato in diversi attacchi; fra i più importanti quelli contro il sito dell’esercito ucraino e il sito web di Vodafone – Ucraina.

I primi di marzo il gruppo ha iniziato a chiedere donazioni e ha persino avviato una raccolta NFT oltre a instaurare collaborazioni con un altro gruppo di lingua russa chiamato XakNet, che ha utilizzato la DoS-NET per attaccare il provider Internet ucraino VinFast, in risposta all’attacco all’operatore mobile russo Beeline.

Il 17 marzo il collettivo ha aperto l’accesso a tutti coloro che volevano e potevano aiutarli; hanno invitato spammer, designer, pentester, specialisti in attacchi DDoS, phisher e via dicendo a entrare a far parte della gang.

KillNet ha immediatamente chiarito che l’intera compagine avrebbe avuto tre macro-filoni operativi: un gruppo di attacco, un gruppo di distribuzione/marketing e un gruppo tecnico.

Dopo questa “chiamata alle armi” il management ha iniziato a prendere di mira alcuni VIP russi che hanno lasciato il Paese a causa della guerra Russia-Ucraina o hanno criticato tale “operazione speciale”, come il cantante Maxim Galkin e sua moglie Alla Pugacheva, il cantautore Valery Meladze, la conduttrice televisiva russa Ksenia Sobchak, il comico Ivan Urgant, la showgirl Anastasia Ivleeva e il rapper Morgenshtern. Il gruppo ha rilasciato alcune informazioni personali su queste persone.

Cyber gang: chi sono e come agiscono i gruppi criminali più pericolosi

La nuova variante della botnet di KillNet

Nel mentre, la nuova versione della DDoS-Net Killnet è stata rilasciata il 19 marzo.

Nell’aggiornamento il gruppo ha aggiunto un nuovo metodo di registrazione, più decentralizzazione, un’ottimizzazione su attacchi a livello applicativo, la capacità della botnet di bypassare DDOS GUARD e CloudFlare.

Il gruppo ha anche affermato come il servizio non fosse accessibile nei paesi dell’UE e della NATO, inclusa l’Ucraina e come la botnet non potesse attaccare alcun sito del governo russo.

I cyber criminali di KillNet hanno anche dichiarato che non avrebbero collaborato con le forze dell’ordine di nessun paese.

Dopo il rilascio della versione 2.0 della botnet, il gruppo ha attaccato il sito web del Ministero dell’Interno della Lettonia in quanto nel Paese è stato arrestato il blogger Kirill Fedorov accusato di aver sostenuto la Federazione Russa e questo è stato considerato tradimento.

Successivamente, KillNet ha attaccato il sito web della Corte suprema polacca, della Banca nazionale polacca e dell’Agenzia statale polacca per gli investimenti e il commercio, perché il Paese, come affermato dal gruppo stesso, stava cercando di iniziare una guerra tra Russia e NATO.

Da questo momento in poi, KillNet è stato particolarmente attivo su diversi fronti sino ad arrivare al 20 aprile 2022 quando è iniziata a Tallin l’esercitazione internazionale “Locked Shields”, organizzata dal Centro di eccellenza per la difesa informatica cooperativa della NATO (CCDCOE).

Attività di KillNet mirate contro i paesi NATO

KillNet ha colto l’occasione e ha attaccato il sito ufficiale del centro NATO. Poiché l’esercitazione Locked Shields e il CCDCOE hanno sede in Estonia, il gruppo di hacker ha concentrato il suo attacco anche contro il sito di trasporto ferroviario estone, gli aeroporti di Tallin e Kärdla, il portale statale estone ed entrambi i siti della dogana e del dipartimento dei trasporti.

Dopo l’Estonia, KillNet ha continuato a prendere di mira la Repubblica Ceca. Il 27 aprile il gruppo ha messo giù il sito ufficiale del Ministero della Difesa, il portale della pubblica amministrazione ceca, il sito della Polizia nazionale, il sito ufficiale del sistema ferroviario nazionale, la pagina web della Facoltà di Informatica dell’Università di Praga, un servizio di web hosting ceco e tre aeroporti internazionali di Brno-Turany, Ostrava e Pardubice.

A partire dagli ultimi giorni di aprile, il gruppo KillNet ha avviato una sorta di accademia chiamata Legion, una cyber-coalizione di nuova costituzione che conta, al momento in cui scriviamo, sei “distaccamenti” operativi impegnati in attacchi coordinati: esse sono Zarya, Impulse, Mirai, Sakurajima, Kaijuk e Jacky.

I cyber criminali hanno raccolto un certo numero di volontari che riferiscono a cinque diversi “generali” che poi amministrano le operazioni. L’11 maggio 2022, le divisioni Mirai e Jacky hanno attaccato i siti web appartenenti al parlamento lettone.

Lo stesso giorno, Legion ha identificato ulteriori obiettivi su suolo europeo; l’Italia e la Spagna sono state assegnate alla divisione Mirai mentre Polonia e Germania alle divisioni Sakuraijima e Jacky.

Interessante notare come Legion ha ben specificato da subito come non ci fosse nessun tipo di restrizione nell’ingaggio di questi obiettivi.

L’Italia nel mirino di attacchi DDOS, come difendersi: i consigli CSIRT

Conclusioni

KillNet è un collettivo complesso che è riuscito a crescere moltissimo in poco tempo creando accademie e sotto-gruppi.

Ha rivolto l’attenzione all’Italia in quanto sostenitrice dell’Ucraina nel conflitto contro la Russia e Paese NATO.

È facile supporre che il gruppo continuerà la sua opera ingaggiando nel prossimo futuro altri bersagli di Paesi NATO o comunque entità ed organi in contrasto con le politiche russe.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Articolo 1 di 5