Ecco chi sono gli hacker russi (e non solo) che mettono in ginocchio l’Italia

Un report delle aziende di sicurezza informatica analizza gli autori dell'attacco hacker ai siti italiani e gli scenari futuri di cyberwar

“Il gruppo hacker Killnet è di fatto la risposta filorussa agli attacchi del collettivo di Anonymous. Non è un caso che tra le sue vittime ci sia proprio lo stesso sito degli hacktivisti”. Pierguido Iezzi, Ceo di Swascan – una delle più importanti Cyber Security Company d’Italia – non ha dubbi sulla finalità dell’attacco informatico ancora in corso a diversi siti italiani, tra cui quello del Senato e del Ministero della Difesa.

Ma chi sono gli hacker che hanno colpito i portali italiani?

Killnet

L’operazione è stata rivendicata dal collettivo di hacker filo-russo Killnet. L’attacco hacker non avrebbe al momento compromesso le infrastrutture ma ha complicato l’accesso ai diversi siti web. Su Telegram il collettivo ha pubblicato una serie di indirizzi che sarebbero stati violati: nella lista, oltre a Senato e Difesa, ci sono l’Istituto superiore di Sanità, la Banca Compass, l’Aci e la società di servizi alle aziende Infomedix.

“Non parliamo più di cyber crime o di gang ransomware che hanno dato il loro supporto alla rispettiva patria. Ma di un gruppo di hacker, foreign fighter o cyber warrier o hacktivisti, che operano con azioni di guerriglia cyber con obiettivi ritorsivi, dimostrativi e di minaccia”. Secondo Iezzi di Swacan, il vettore di attacco maggiormente utilizzato sono gli attacchi di DDOS, attacchi che hanno l’obiettivo di saturare i servizi e renderli non disponibili.

“Non necessitano di una importante rete di computer controllabili da un attaccante”. E’ poi importante considerare come su questo gruppo non si hanno ancora notizie certe della sua origine.

La prima guerra ibrida su ampia scala

Swacan, insieme con Corvallis Yoroi, ha fondato nel 2020 Tinexta Cyber,  il polo Italiano della cybersecurity. Ogni anno questo hub specializzato pubblica un report sulla sicurezza digitale. Protagonista del numero del 2022 è inevitabilmente la guerra in Ucraina, definita “la prima guerra ibrida su ampia scala“, un conflitto che coinvolge attacchi informatici e sul campo.

Già giorni prima che le prime forze russe entrassero in Ucraina secondo fonti Eset, le gang informatiche legate alla Russia hanno preso di mira siti ucraini. Tuttavia, questi erano solo i primi di una lunga serie di attacchi che hanno dato vita ad una cyberwar invisibile nei forum del darkweb. Difatti, oltre all’utilizzo di social network per comunicare con il pubblico, molti di questi gruppi si sono rivolti al darkweb come spazio sicuro per coordinare attacchi contro siti specifici russi o ucraini.

Gli hacker sui fronti

Una guerra con attacchi di tipo APT (Advanced Persistent Threat, minacce da parte di un attore con elevate competenze tecniche e grandi risorse umane e finanziarie). Sono ormai considerati strumento di primo piano per il perseguimento di interessi politici, economici e militari. Li effettuano dozzine di collettivi come hacktivisti, gruppi di hacker e gang ransomware conosciute che solitamente agiscono opportunisticamente per estorcere ingenti somme di denaro alle vittime.

Molti di loro si sono schierati con la Russia o l’Ucraina nelle ultime settimane. Da una parte, dunque, gli attori filo-ucraini che si rifiutano di vendere, comprare o collaborare con alleati russi schierandosi a sostegno dell’Ucraina; dall’altra invece, gli attori filorussi, si stanno sempre più focalizzati nella battaglia contro gli oppositori russi.

A febbraio, la gang Conti si è ufficialmente schierata con la Russia, annunciando “supporto totale” attraverso “tutte le risorse disponibili”.

Poco dopo Conti ha subito una devastante violazione da un security researcher ucraino che ha divulgato il codice sorgente, le TTP (tattiche, tecniche e procedure) e le comunicazioni interne del gruppo. Dall’altro lato della barricata, AgainstTheWest, schierato pro-Ucraina, ha rivendicato l’attacco alla Banca Centrale di Russia, esfiltrandone dati, così come al Russia Aerospace Force.

Cosa aspettarsi da Russia e Ucraina

Secondo Ben Hall, giornalista del Financial Times, l’Ucraina soffre di mancanza di competenze in materia di sicurezza informatica e capacità di risposta limitata per la mancanza di coordinamento tra le diverse agenzie, tutte carenze che Kiev sta cercando di risolvere. Dall’altro la potenza russa, con un sovraccarico di risorse finanziarie e umane altamente organizzate, capacità informatiche avanzate nel campo della difesa e della deterrenza, in grado di monitorare e rispondere agli attacchi informatici, rilevare lacune nei sistemi nemici e pianificare attacchi efficaci che comportano pesanti perdite.

Lo State Service of Special Communications and Information Protection of Ukraine ha tenuto diverse esercitazioni di simulazione di attacchi informatici rivolti a server e reti governative, con lo scopo di sensibilizzare gli operatori delle infrastrutture critiche e metterli in contatto con centri di sicurezza cibernetica, in modo che gli attacchi possano essere rapidamente monitorati e analizzati.

La cyberguerra del futuro

Allo stato attuale, i gruppi ransomware stanno esfiltrando i dati delle vittime in una posizione offsite
prima della crittografia, minacciando quindi la fuoriuscita di dati se un riscatto non viene
ricevuto. La minaccia combinata della crittografia e dell’esfiltrazione dei dati è una forma di doppia
estorsione, metodo di attacco sempre più utilizzato e che si dimostra sempre più redditizio.

Secondo gli esperti, un’altra caratteristica introdotta nella guerra cominciata lo scorso febbraio e destinata a sviluppi importanti è sarà la diffusione della tripla estorsione. Tecnica concepita per far pagare di più e più in fretta alle aziende, estendendo l’attacco a clienti e partner della vittima. Attacchi ransomware che diventeranno sempre più mirati, rendendo più difficile per le aziende difendere le loro reti e sistemi.

La mossa più urgente da fare è abbassare la soglia di rischio, aumentando la prevenzione. Inoltre, visti i recenti sviluppi sul piano geopolitico, sarebbe sciocco non considerare come la connivenza tra Cyber Crime e Cyber war siano aumentate enormemente. Un attacco ransomware – anche se portato a segno da attori non ufficialmente schierati o senza alcuna motivazione politica – è comunque in grado di aumentare indirettamente la potenza di fuoco di un attore statale, proprio grazie alla quantità di dati messi in rete dai primi. Due gruppi che tramite le loro attività si auto-alimentano.

IL REPORT GANG RANSOMEWARE