Qualche giorno fa i server NATO sono stati colpiti da un attacco informatico tramite DDoS – Distributed Denial of Service per mano di Killnet, il gruppo di hacktivisti filorussi. La rivendicazione è arrivata con un messaggio su Telegram, nel quale si specificava che i dettagli sarebbero stati dati in un canale chiuso.
A quanto pare, migliaia di tentativi di accesso simultanei ai siti dell’organizzazione hanno fatto crollare i server, colpendo anche il sito della Nshq, il quartier generale delle operazioni speciali della Nato.
Ma chi sono gli hacktivisti di Killnet e quali sono i loro obiettivi?
Cyber attacchi come arma geopolitica: i rischi di un’escalation nello scontro Usa-Russia
L’attacco informatico alla NATO
L’offensiva, inevitabilmente, ha intaccato anche i contatti tra la NATO e gli aerei militari che si stanno occupando dei soccorsi alle vittime del sisma che ha scosso Turchia e Siria qualche giorno fa. Colpita anche la Strategic Airlift Capability, organizzazione multinazionale che fornisce trasporti aerei militari e umanitari, supportata dalla NATO, e che attualmente è impegnata nel trasporto di attrezzature di ricerca e soccorso nelle aree distrutte dal terremoto turco-siriano. Un velivolo C-17, durante il trasporto di rifornimenti alla base aerea di Incirlik, a sud della Turchia, ha ricevuto comunicazione dell’attacco cyber sulla rete NR della NATO, che viene utilizzata per la trasmissione di dati sensibili, da un responsabile della Strategic Airlift Capability tramite la rete Aircraft Communications Addressing and Reporting System. Le comunicazioni aeree non si sono interrotte, ma sicuramente ci sono state ripercussioni sui soccorsi, secondo il Telegraph. Al momento dell’attacco, la NATO ha dichiarato che gli esperti informatici stavano affrontando attivamente “un incidente” che aveva colpito alcuni loro siti web e che la NATO “si occupa regolarmente di incidenti informatici e prende molto sul serio la sicurezza informatica”.
I precedenti di Killnet
Il gruppo di hacktivisti filorussi ha già portato a termine in passato diversi attacchi ad obiettivi importanti, Giappone, Italia, Norvegia, Estonia e Lituania per citarne alcuni, sfruttando il DDos, Distributed Denial of Service. Secondo gli esperti, gli attacchi sferrati da Killnet si risolvono solitamente in poche ore e non lasciano danni significativi, per cui il gruppo di hacktivisti pro-Cremlino potrebbe sferrarne di altri più importanti e impattanti. Lo scorso maggio ha minacciato di disattivare i ventilatori degli ospedali britannici a seguito dell’arresto di un loro membro a Londra o che a marzo 2022 ha pubblicato un video con una figura incappucciata con voce distorta che esortava i Russi a restare in patria per sostenerla nel conflitto con l’Ucraina.
A luglio, Congress.gov, il fornitore ufficiale di informazioni sulla legislazione del Congresso, è stato messo offline per circa due ore da un attacco DDoS, senza, però, che la rete della Biblioteca e i dati venissero compromessi. Il mese successivo il gruppo hacktivista ha annunciato un attacco con Lockheed Martin Corp., l’appaltatore della difesa statunitense, e di aver scaricato documenti da Gorilla Circuits, un appaltatore dell’industria della difesa che produce circuiti stampati, anche se quest’ultimo aveva notificato un attacco cyber nell’autunno del 2021 e ha dichiarato recentemente di non aver registrato ulteriori incidenti.
L’Estonia ha subito un’ondata di attacchi DDoS ad agosto, a seguito della rimozione degli ultimi monumenti dedicati alla guerra sovietica, rivendicati da KillNet, e secondo i funzionari della sicurezza estone sono stati i più estesi dall’attacco subito nel 2007, che in una settimana aveva colpito banche, siti web governativi e organi di stampa dopo la rimozione di una statua dell’era sovietica dalla capitale Tallinn. L’Estonia è riuscita a respingere l’attacco, ma il traffico di dati registrato ha raggiunto un picco di oltre 200 gigabyte al secondo, quantità di molto superiore rispetto a un solito attacco DDoS.
Le caratteristiche degli attacchi Killnet
Ciò che caratterizza gli attacchi sferrati da KillNet sta nell’essere “più fastidiosi che dirompenti”, come Jonas Skardinskas, direttore della gestione della sicurezza informatica presso l’agenzia informatica nazionale lituana, ha sottolineato in riferimento agli incidenti capitati ai siti web delle agenzie governative lituane, colpite da DDoS dallo scorso giugno, dopo che la Lituania, a sostegno dell’Ucraina, aveva bloccato il passaggio di carbone e metallo sul suo territorio verso l’exclave russo di Kaliningrad. Si tratta di attacchi non mirati e che non provocano la paralisi della vittima, piuttosto hanno una durata maggiore del solito.
Per quanto riguarda il nostro Paese, i cyber crime, definiti dal gruppo solo “un’esercitazione cyber”, sono avvenuti in collaborazione con un altro gruppo cyber filorusso, Legion, e hanno colpito i siti di Senato, ministero della Difesa, l’ISS, Istituto Superiore della Sanità, e l’Automobile Club d’Italia. Come si vedrà, le offensive arrivano sempre una volta che la nazione ha manifestato il suo supporto all’Ucraina.
Ivan Righi, analista di intelligence delle minacce cibernetiche presso la Digital Shadows, società di sicurezza informatica, ha affermato che “Lo scopo di questi attacchi è sicuramente malevolo. Non lavorano con la Russia, ma a sostegno della Russia”.
Cybercrime e comunicazione
Secondo Vlad Cuiujuclu, analista di Flashpoint, una società di cyberthreat-intelligence, il gruppo KillNet ha rilasciato diverse interviste ai media russi nell’ultimo periodo, aspetto che ha fatto dedurre un accrescimento del consenso popolare nei suoi confronti. Inoltre, la presenza sugli organi di stampa potrebbe rappresentare essa stessa l’obiettivo degli hacktivisti per fare rumore.
Il gruppo è composto da normali cittadini che hanno iniziato a riunirsi già prima dell’invasione russa sul territorio ucraino a febbraio 2022, attraverso la pubblicizzazione di una app o sito web in cui poter ingaggiare una botnet e usarla per lanciare attacchi Ddos. Man mano si è popolato, raddoppiando da febbraio a maggio i suoi membri, grazie alla popolarità acquisita, che li ha portati anche a creare e a vendere un proprio merchandising. Killnet non attacca solo attraverso i DDoS, ma anche tramite il defacing, che consiste nel modificare pagine di siti web, e la sottrazione di dati, attività quest’ultima mai verificata.
Secondo Sofie Nystrøm, capo della Nsm, l’agenzia norvegese per la sicurezza informatica, a seguito di attacchi Ddos subiti dalla propria nazione, nonostante questi non siano sofisticati, “riusciranno comunque a creare incertezza nella popolazione dando l’impressione che siamo una pedina dell’attuale situazione politica in Europa”.
