In ricordo di Falcone, “Scusa Giovanni!”
22 Maggio 2022Puglia, il primo distretto agricolo a impatto zero
24 Maggio 2022Killnet colpisce ancora e minaccia, di nuovo, l’Italia
A Draghi pieni poteri dal Cosapir per contrastare le minacce hacker
di Silvia Cegalin
“Diamo Fuoco a tutti” con questa minaccia gli hacktivisti di Killnet, gruppo esplicitamente contro la NATO e a chiunque si opponga al regime di Putin, dichiarava sul loro canale Telegram di colpire tramite attacchi DDoS almeno 50 siti italiani. Nella lista erano compresi ministeri, media, organi giudiziari ed aziende di energia e telefonia. Una promessa che è stata mantenuta, ma che in parte è fallita perché la maggior parte degli attacchi non è andata a buon fine. Killnet però non si è arreso, e per ore nella giornata del 20 Maggio ha riprovato a mettere offline alcuni siti, tra cui quelli del Consiglio Superiore della Magistratura, dell’Agenzia delle Dogane e dei ministeri di Esteri, dell’Istruzione e dei Beni Culturali. Per cercare di mitigare questi attacchi la Polizia Postale era attiva dalle 22 della notte del 19.
Un’operazione che giunge qualche giorno dopo che per far fronte dell’aumento delle azioni offensive cibernetiche, l’Italia ha approvato la Strategia nazionale di cybersicurezza 2022-2026; mentre il Cosapir, Comitato parlamentare per la sicurezza della Repubblica, ha proposto di assegnare al Presidente del Consiglio, Mario Draghi, pieni poteri per contrastare le minacce hacker, perché c’è il rischio che possano sfociare in atti di terrorismo mettendo così in pericolo la sicurezza del nostro Paese.
Oltre quelli registrati il 20 Maggio, in queste ultime settimane l’Italia è stata vittima di molteplici attacchi hacker, soprattutto a opera di Killnet.
L’orgoglio hacker dietro agli attacchi diretti alla Polizia di Stato
Orgoglio (ferito): è questa l’espressione chiave che si cela dietro l’attacco DDoS effettuato contro il sito della Polizia di Stato nella notte tra il 15 e il 16 Maggio. È sabato quando da molti media italiani viene diffusa la notizia che la Polizia di Stato ha sventato un attacco hacker proveniente da Killnet, avente lo scopo di manomettere le votazioni della serata finale dell’Eurovision e le infrastrutture informatiche dell’evento.
Un attacco però che, stando alle dichiarazioni via Telegram di Killnet, non c’è mai stato, ed è a questo punto che parte la rivincita personale di Killnet contro il sito della Polizia, colpevole, a detta degli hacker, di un atto menzognero per essersi preso il merito di una controazione mai avvenuta.
Una rivalsa che non si fa attendere: nella notte di sabato 14 Maggio i sistemi informatici della polizia italiana registrano un traffico anomalo degli accessi che lo porteranno poi alla saturazione. Un attacco DDoS che renderà il portale irraggiungibile per almeno 24 ore, per chi provava, invece, a collegarsi dall’estero il blocco è durato più a lungo. Un evento che, indipendentemente dalla causa scatenante, resta preoccupante perché ad essere colpita è stata un’istituzione che svolge servizi atti alla sicurezza dei cittadini.
Killnet e i precedenti attacchi alle Istituzioni italiane
Killnet non era sconosciuto alle cronache italiane. Il medesimo gruppo filorusso aveva infatti ordinato a Legion, una sua fazione altamente strutturata, di colpire l’Italia. «Esercitazione militare condotta per accrescere le loro capacità cyber» la definirono nel loro canale Telegram.
Un ordine eseguito l’11 Maggio, quando numerosi sistemi informatici, tra cui quelli del Senato, del Ministero della Difesa, della Scuola alti studi di Lucca e dell’Istituto superiore di Sanità sono stati messi fuori uso tramite la tecnica DDoS, mentre qualche giorno più tardi, il 16 Maggio, pare esserci stato un tentativo, poi fallito, contro il Comune di Roma.
Sebbene non siano stati registrati danni permanenti o il furto di dati, non si conoscono nel dettaglio tali hackeraggi, quello che si sa è che si è trattato di un slow Http Attack, procedimento facile e che richiede minimi sforzi, e che su tali fatti stanno indagando gli inquirenti della Procura della Capitale, sezione antiterrorismo; anche in questo caso, tuttavia, è mancata una comunicazione informativa istituzionale su ciò che stava avvenendo.
Com’è strutturato Killnet: la divisione in fazioni e la presenza in Telegram
Il nome di Killnet compare anche nel report del 20 Aprile del Cisa, United States Cybersecurity and Infrastructure Security Agency, la quale inquadra Killnet tra le minacce informatiche criminali sponsorizzate dallo stato russo. Nei mesi scorsi, non a caso, Killnet e la sua Legion avevano preso di mira Anonymous (che a sua volta tenta di ostacolare le azioni di Killnet), a fine Marzo il Bradley International Airport del Connecticut, ad Aprile i siti governativi rumeni e le ferrovie polacche, mentre a Maggio è toccato all’Italia, che, di nuovo, si è fatta cogliere impreparata nel gestire un attacco DDoS.
Se, da una parte gli hacktivisti di Killnet e Legion agiscono prettamente sovraccaricando i siti senza danneggiarne i sistemi, è anche vero che la loro organizzazione appare molto ben strutturata e ramificata in varie divisioni e botnet (Zarya, Impulse, Mirai, Sakurajima, Kaijuk e Jacky) a cui sono assegnate le diverse nazioni da colpire; il nostro Paese, assieme alla Spagna, infatti figura essere sotto il controllo di Mirai.
Non va sottovalutato pure il fatto che questi gruppi hacker sono presenti in Telegram con l’obiettivo di assoldare volontari per le loro campagne filorusse; trasformando Telegram da social a catalizzatore di condotte criminali senza che esso sia attenzionato o richiamato, un fattore che, se protratto, potrebbe allargare le maglie del conflitto in rete e renderlo incontrollabile.