Senato e ministero della Difesa bersaglio dei pirati informatici
Attacco hacker all’Italia: KillNet usa Mirai, il Paese bloccato da ragazzini – L’analisi
L’attacco informatico annunciato lo scorso marzo si è verificato in Italia e i siti governativi sono andati giù. Il fatto che come annunciato dagli hacker sia stato colpito il Ministero della Difesa (anche se in serata è arrivata la smentita dal ministero che ha giustificato il down del proprio sito per “manutenzione programmata“, ed è curioso che non sia stato annunciato prima) è essenzialmente sintomo di un attacco collegato alla guerra Ucraina, dove da mesi oltre agli apparati militari dell’esercito russo, il governo di Zelensky ha dato vita ad una squadra di collettivi che si celano dietro il brand di Anonymous ed hanno effettuato degli attacchi prevalentemente di negazione del servizio (DDoS) e di estrazione dati.
Nella giungla dei collettivi che si sono schierati dall’una e dall’altra parte, è comparso KillNet che essenzialmente rappresenta un gruppo per lo più sconosciuto e probabilmente collegato ai russi e che ha essenzialmente condotto degli attacchi DDoS nei confronti di diverse infrastrutture con la motivazione di andare contro l’asse guerrafondaio della Nato seppur sia stato identificato dall’intelligence usa come un gruppo motivato in attacchi di matrice finanziaria. Oltre i colpi effettuati in Italia, KillNet ha già realizzato azioni di negazione del servizio informatico in aeroporti statunitensi, negli ospedali inglesi, per poi passare a colpire siti governatovi della Romania e per ultimi quelli italiani. In queste ultime ore nella chat Telegram del gruppo c’è chi si lamenta che l’attribuzione sia collegata ad una costola di KillNet e precisamente legion.
Secondo il docente ordinario di Ingegneria informatica della Federico II, Antonio Pescapè: “Quanto sta succedendo in queste ore in Italia segue quanto già successo in altri paesi, peraltro diversi anche membri della Nato. Ora l’Italia, prima Romania, Polonia, Stati Uniti, Lituania, Germania e soprattutto Ucraina. Si, Ucraina in quanto l’attacco pare sia opera di Killnet che possiamo definire un Anonymous filo-russo. Un gruppo di attivisti che sta usando – già da aprile – una Botnet per sferrare attacchi DDoS (attacchi che mirano a rendere i servizi attaccati inutilizzabili). Un gruppo di attivisti composto sembrerebbe da giovanissimi, molti appena 20enni. I più colpiti nel nostro paese ad oggi, sono stati i siti web istituzionali di Senato, ACI, Istituto Superiore di Sanità e Ministero della Difesa. L’attacco DDoS è stato annunciato su Telegram nel pomeriggio di mercoledì 11 maggio. Non è affatto detto che quanto fatto sinora sia il vero obiettivo, dobbiamo stare attenti e alzare di molto l’attenzione e la protezione delle nostre infrastrutture“.
“Mirai sta arrivando da te, forse questo è l’inizio della tua fine” scrivono quelli di Killnet che hanno pubblicato su Telegram la lista dei futuri target. Pare siano stati loro che ieri hanno fatto assaggiare la potenza del DDoS ai siti italiani attaccando tra gli altri il sito del Senato e del Ministero della Difesa. Secondo il ricercatore informatico Odisseus, tra i primi al mondo a parlare della botnet Mirai crea un collegamento tecnico in esclusiva al riformista con l’attuale attacco di KillNet e la famigerata infrastruttura utilizzata in attacchi malevoli
“Mirai è stato scoperto da Hendrik Adrian conoscuto su Twitter come @unixfreaxjp, il capo di un gruppo di hacker whitehat chiamato “MalwareMustDie”, con cui collaboravo a quel tempo su base volontaria per la parte Italiana. Era l’estate del 2016, stava per cambiare per sempre l’epoca delle botnet perché era in procinto di affacciarsi sulla scena degli attacchi DDoS l’Internet delle Cose, ovvero Internet of Things (IoT). Ma di che si tratta? Di telecamere, videoregistratori, router, smartTV e tutte le cose di casa che sono connesse ad Internet le quali sono sono profondamente vulnerabili non avendo un livello di sicurezza sufficiente. Il mondo delle IoT era un universo di dispositivi sonnecchianti che era pronto a svegliarsi e ad accaparrarsi una fetta enorme di traffico internet raggiungendo una potenza di fuoco che mai fino allora avevano avuto le botnet: per semplificare bisogna pensare ad esse come a dei veri e propri cannoni in grado di sparare traffico internet annientando chiunque capiti a tiro. Questi cannoni sparano traffico e se colpiscono un sito – un giornale, un sito per acquisti on line, ecc – questo collassa sotto il peso di un traffico che non riesce a gestire”.
Continuando la sua riflessione sulle analogie tra la botnet e gli attacchi ai siti italiani Odisseus definisce interessante “che chi ha sviluppato Mirai, inseguito dall’FBI ha reso pubblico il codice sorgente del malware: cosi Mirai si è moltiplicata enormemente. Chiunque poteva scaricarla, modificarla, aggiornarla, diffonderla ed utilizzarla come fanno oggi quelli di Killnet. Proprio il mese scorso è stata scoperta l’ennesima botnet simil Mirai e guarda caso, la struttura del malware era proprio identica al codice sorgente della Mirai originaria: dopo 8 anni lo stesso malware viene ancora utilizzato per fare gli stessi danni che ha iniziato a fare nel 2016. C’è da domandare cosa è stato fatto per difenderci fino ad oggi: la risposta è “molto poco”. Quello che preoccupa è il modo con cui l’Italia sia cascata sciogliendosi su se stessa a maggior ragione dopo che “Gabrielli, sottosegretario a Palazzo Chigi con delega per la sicurezza nazionale, è intervenuto alla CyberTech Europe 2022 e suona come una beffa perché un evento dove l’Italia ha mostrato i muscoli dopo la creazione della Agenzia per la Cybersicurezza Nazionale proprio nella giornata conclusiva si è dovuta trovare attaccata e scoprirsi impotente di fronte al mondo, contro un gruppo di ragazzini che usano ancora una copia aggiornata di Mirai. Chi stronca le botnet in Italia? Chi lavora sulle botnet? Nessuno ha ancora risposto, ma tra breve sapremo i componenti del Comitato Tecnico Scientifico (CTS) della Agenzia per la Cybersicurezza. Buon lavoro”.
Secondo il data journalist Livio Varriale “la natura dell’attacco ha abbassato di molto il livello qualitativo della Russia mostrato fino ad oggi. Le attività di propaganda dell’Occidente hanno maggiore risalto per due motivi: uno bisogna infatti dare nel nostro mondo l’importanza ad azioni di pseudo guerra cibernetica nei confronti dei russi, c’è scarsa informazione sul tema e molti vogliono far passare degli attacchi di negazione di servizio come delle grandi opere. Non è così, ed allo stesso tempo possiamo rilevare ed etichettare come fuffa gli attacchi visti fino ad oggi, inutili alla guerra cibernetica, da parte dell’Ucraina, ed anche in questo caso è possibile parlare di fuffa sovietica. C’è anche un dettaglio molto particolare che deve far diffidare dallattuale narrazione sulla guerra cibernetica: i russi hanno non solo coalizzato i paesi politicamente ma se l’Occidente si sta preoccupando adesso ed in maniera molto sentita dei rischi di una guerra cibernetica è perché evidentemente si trova in grandissima difficoltà ed occasioni come quella accadute in Romania in Italia fanno comprendere che ci sarebbe molto da discutere sullo stato di salute dell’infrastruttura cibernetica italiana“.
© Riproduzione riservata