GUERRA UCRAINA

Cyberwar: come funziona il reclutamento di aspiranti hacker nella guerra in Ucraina

Viaggio tra kit e strumenti messi a disposizione per chi vuole contribuire ai cyber attacchi contro la Russia: le conseguenze, però, possono essere molto gravi

30 Mar 2022
M
Riccardo Meggiato

Coordinatore di "The Outlook", Consulente in cyber security e informatica forense

Uno dei tratti distintivi del drammatico conflitto in Ucraina è la lotta da parte di gruppi hacktivisti contro la Russia. Una lotta che si tiene nel territorio digitale ma che per essere efficace ha bisogno di un grande numero di seguaci. Si pensi, per esempio, alle esigenze, in termini numerici, di un attacco DDoS.

È per questo che, a volte in modo ufficiale, molte altre in modo più nascosto, sfruttando Dark Web e canali Instagram, vengono lanciate massicce campagne di reclutamento di nuovi “cyber combattenti”.

La Russia non è una super potenza della cyber: ecco le prove

Gravi effetti collaterali

Come in tutte le guerre, tuttavia, questa rappresenta la fase più critica, perché tende a ingaggiare una moltitudine di utente sprovveduti, con competenze insufficienti, che ardono dal desiderio di aggregarsi senza tenere conto delle reali conseguenze. Che sono, essenzialmente, di due tipi.

WHITEPAPER
Quali caratteristiche delle VDI garantiscono un aumento di produttività
Datacenter
Virtualizzazione

Nel primo ricadono le conseguenze legali, poiché un cyber attacco può essere mosso dalle migliori intenzioni, ma è e resta un’azione illegale, con l’aggravante che nasce da una personale scelta che non viene supportata al proprio governo.

Nel secondo rientrano, invece, le conseguenze dovute a un eventuale spillover, cioè quando l’attacco coinvolge altri obiettivi oltre a quello designato.

I rischi del fuoco amico

Brian Higgins, esperto di sicurezza a Comparitech, qualche settimana fa raccontava a ComputerWeekly che un individuo ingaggiato con queste modalità non può contare su un’intelligence in grado di fargli distinguere bersagli amici da target reali, e che si potrebbe attaccare proprio l’obiettivo che in realtà si sta cercando di aiutare. Non avendo piena conoscenza di infrastrutture e reti che si attaccano, si potrebbe quindi avere un impatto negativo su civili, agenzie umanitarie e supply chain della fazione che si difende.

Il problema delle campagne di cyber-reclutamento, di base, è proprio questo: vista la necessità di reclutare nuove unità in tempi brevi e in grosse quantità, si punta a un bacino di utenti molto eterogeneo.

Da qui, la scelta di proporre guide e kit “all inclusive” per raggiungere gli obiettivi designati. Tutto il resto è lasciato alla preparazione e sensibilità dei partecipanti. Per questo motivo, si sottolinea che quanto riportato in questo articolo ha uno scopo puramente informativo e non deve essere messo in pratica, in alcun modo.

Campagne di reclutamento

L’esempio più eclatante è stato quello del vice primo ministro ucraino Mykhailo Fedorov, che il 26 febbraio, cioè due giorni dopo l’inizio dell’invasione russa, ha lanciato una vera e propria campagna di reclutamento per un “esercito IT”, come lui stesso lo ha chiamato.

Questo annuncio ha dato il via a una lunga serie di altre campagne di reclutamento che hanno raccolto decine di migliaia di collaboratori in tutto il mondo. Tra queste, anche veri e propri hackathon votati alla ricerca di vulnerabilità su obiettivi russi, come quello avviato da Yegor Aushev di CyberUnitTech.

Una visita approfondita tra annunci social, canali Telegram e siti nel Dark Web, ha permesso di ricavare alcune informazioni importanti su obiettivi e strategie di queste campagne.

Obiettivi designati

Tratto comune delle principali campagne di reclutamento sono gli elenchi di obiettivi da attaccare. Le campagne più generiche, e francamente improvvisate, si limitano a elencare gli indirizzi web dei rispettivi siti. Forse perché gli obiettivi, in questo caso, sono DDoS e defacement proprio ai siti web. Qualcuno fornisce più informazioni, mostrando il Whois, ma si tratta pur sempre di obiettivi non molto strategici.

In alcuni canali Telegram si trovano, invece, elenchi di indirizzi IP interni di alcune aziende e infrastrutture legate al governo russo. Mentre altri snocciolano i numeri di telefono personali e gli indirizzi email dei governanti russi, oppure di quelli dei commissari per i diritti umanitari a cui inviare materiali che mostrino le atrocità della guerra. In altri casi, ogni obiettivo di alto livello viene dettagliato in ogni sua parte, con mappaggio completi delle relative infrastrutture. È il caso, per esempio, della Sberbank, la banca di stato russa.

Le tecniche più utilizzate

La tecnica più utilizzata e suggerita è il DDoS e il motivo è facilmente intuibile. Si tratta, infatti, di un attacco che può essere spiegata e sferrato anche da utenti privi di grosse conoscenze, e per il quale bastano strumenti accessibili e di facile utilizzo.

Ancora una volta, il discorso non vuole promuovere degli attacchi indiscriminati, ma porre solo l’attenzione su quanto sia semplice perpetrarli.

C’è chi, oltre ai classici strumenti DDoS, propone delle derivazioni ancora più semplici: per esempio, basta collegarsi a determinati siti per contribuire direttamente a un DDoS veicolato su più servizi russi contemporaneamente.

Altri cercano utenti che diano aiuto nella decodifica delle comunicazioni militari russe, mettendo a disposizione servizi web collegati a sistemi di intercettazione dei segnali. 

Le guide alla cyberwar

Le guide sono l’elemento dominante delle campagne di reclutamento, poiché spiegano in pochi passi come diventare operativi e contribuire ai cyber attacchi. Benché esistano guide che spiegano ai meno esperti come proteggersi prima di un attacco, l’enfasi è posta sulle azioni offensive. Come quelle che hanno come protagonisti progetti come Ban-DERA.

O il noto progetto MHDDoS, uno script capace di 51 diversi metodi di attacco DDoS.

Le elevate offerte di collaborazione da parte di utenti poco o per niente esperti ha infine portato alla creazione del progetto “Death by 1000 needles”, che è una piattaforma di attacco decentralizzata. A seconda del sistema operativo utilizzato, l’utente installa un piccolo software e, di fatto, mette il proprio terminale a disposizione di un gruppo di hacktivisti che ne veicolano le risorse. 

Va evidenziato che, benché le istruzioni di utilizzo ripetano agli utenti di utilizzare una VPN, l’enfasi è posta sulla fase di attacco, mettendo ancora una volta a serio rischio chi approccia a questi strumenti quasi come se fosse un gioco. Si viene così a creare una massa critica di potenziali cannon fodder cybernetici che ignorano le conseguenze di gesti di questo tipo.

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 5