Sono arrivati i temuti attacchi cyber contro l’Italia organizzati da gruppi filorussi per rappresaglia alla posizione politica del nostro Paese rispetto al conflitto ucraino. Erano attesi, erano temuti e, considerato l’alto livello degli APT affiliati al Cremlino o collusi con il servizio segreto militare GRU, ci si aspettava il peggio. Alla fine l’allarme, scattato eri nel tardo pomeriggio, è rientrato senza grossi problemi, o almeno così sembra.

I fatti

Nel pomeriggio di ieri, 11 maggio, sono diventati irraggiungibili sette siti istituzionali italiani: Senato, Difesa, Istituto di studi avanzati di Lucca (IMT), Istituto superiore di Sanità, portale Kompass, Infomedix e Automobil Club d'Italia.

La rivendicazione ha chiarito immediatamente che quanto accadeva era opera del collettivo filorusso Killnet, che secondo gli esperti ha uno stretto legame con le forze armate della Federazione. L’attacco è stato di tipo DDoS e alle 20 l’allarme era rientrato. Peraltro, si è appreso a posteriori che, nonostante il sito della Difesa fosse irraggiungibile al momento dell’attacco, non ne è stato coinvolto. Per coincidenza, era in corso una "attività di manutenzione da tempo pianificata", come ha riferito lo Stato maggiore della Difesa.

Causa e velocità del cessato allarme sono concatenate: gli attaccanti si sono limitati a sovraccaricare i server dei servizi target fino a farli collassare. Una volta svanita l’ondata di richieste, i server hanno ripreso ad erogare regolarmente i servizi. Non risultano furti di dati o compromissioni delle infrastrutture.

Parliamo quindi di un attacco che non aveva un intento distruttivo, piuttosto era dimostrativo. Tant’è vero che gli attaccanti hanno anche lasciato un messaggio sibillino: "forse questo è l'inizio della fine". Nulla a che vedere con i danni catastrofici cagionati dagli attacchi con malware wiper scatenati contro le istituzioni e aziende in Ucraina.

Il monito

Il fatto che gli attacchi non abbiano causato gravi danni non deve portare a prendere sottogamba l’accaduto. Come ha sottolineato la Presidente del Senato Elisabetta Alberti Casellati su Twitter, si è trattato di un episodio grave che non dev’essere sottovalutato.

https://twitter.com/Pres_Casellati/status/1524469977763434497?s=20&t=KXhbX0JTMSGwdmrcZhyvvA

Prima di tutto perché quella di Killnet è stata un’azione ad ampio raggio, che oltre all’Italia ha coinvolto Germania e Polonia. Nel primo caso sono stati presi di mira gli aeroporti di Norimberga e di Monaco; in Polonia i target erano istituti bancari, università e parlamento. Su Telegram i membri del collettivo hanno rivendicato gli attacchi riconoscendone la paternità, hanno pubblicato l’elenco degli obiettivi colpiti confermando le notizie ufficiali dei Paesi coinvolti.

In secondo luogo gli attaccanti hanno pubblicato un elenco di altri target che intendono colpire. Resta un’incognita il tipo di attacco che hanno in serbo gli attivisti per la loro prossima mossa. Stando al messaggio minatorio, potrebbero sfruttare la nota e temuta botnet Mirai.

Ovviamente la Polizia Postale, con il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche, ha avviato le indagini. L’intento è quello di risalire agli autori e alla provenienza dell'attacco; il problema è che dal riconoscere la paternità di un attacco ad arrestarne i colpevoli ce ne passa. Soprattutto nella situazione geopolitica attuale, in cui i gruppi criminali che si sono schierati apertamente con il Cremlino beneficiano della tutela di Putin e saranno intoccabili fintantoché non varcheranno i confini della Federazione.

Chi è Killnet

Insieme a Conti e a Zarya, Killnet è uno dei gruppi apertamente schierati con Putin e a favore dell’invasione dell’Ucraina da parte della Russia. Al contrario di Conti, si tratta di un gruppo di attivisti informatici che tipicamente sferra attacchi contro entità di Governi che hanno sottoscritto sanzioni contro la Russia e che hanno condannato pubblicamente l’azione bellica promossa dal Cremlino. Toby Lewis, Global Head of Threat Analysis di Darktrace, sottolinea che gli attacchi registrati in Italia sono "un esempio di hacktivism motivato da ragioni geo-politiche in grado di ripercuotersi sulla vita reale e quotidiana delle persone. Gli attacchi DDoS sono il modus operandi preferito da Killnet: attacchi non particolarmente sofisticati e relativamente facili da mitigare, ma gli hacker di questo gruppo sanno di essere in grado di conquistare le prime pagine dei giornali e di generare discussioni a livello globale".

La riconferma è nelle pubblicazioni del canale Telegram ufficiale del gruppo, in cui è specificato che l’obiettivo delle azioni cyber criminali non è quello di danneggiare le persone di altri Paesi o di fornire servizi di hacking conto terzi. Piuttosto, si legge, "il compito di killnet è quello di creare il massimo danno alla struttura informativa della rete dei paesi nemici", leggesi quelli che fanno parte della NATO e che stanno supportando attivamente l’Ucraina.

Killnet ha attaccato con successo, sempre con attacchi DDoS, diverse infrastrutture critiche nella Repubblica Ceca, fra cui ferrovie e aeroporti. A marzo aveva bersagliato il Bradley International Airport statunitense (da cui partivano gli aiuti per l'Ucraina), infrastrutture del Regno Unito e dell’Estonia. Nell’ambito del già citato schieramento geopolitico del cybercrime, Killnet ha anche attaccato il collettivo Anonymous, protagonista di una delle principali campagne di supporto all’Ucraina.

https://twitter.com/_SaxX_/status/1497609792268951554?s=20&t=KXhbX0JTMSGwdmrcZhyvvA

Il fatto che finora le azioni si siano sviluppate restando nell’ambito dimostrativo non significa che lo saranno anche in futuro. Soprattutto alla luce del fatto che Killnet ha chiamato a raccolta altri gruppi filorussi affinché diano manforte nelle prossime azioni. Il supporto potrebbe limitarsi ad un ampliamento degli attacchi DDoS, ma non si può escludere a priori che si uniscano alla cordata anche competenze ben più pericolose.

Basti pensare al già citato gruppo Conti, a capo di un Ransomware-as-a-Service fra i più micidiali in circolazione, ma anche a REvil e una coda lunga di gruppi che operano per profitto e che fanno base in Russia. Tutti, a vari livelli, maneggiano Tecniche, Tattiche e Procedure sofisticate e dal potenziale altamente dannoso.

Per non parlare dei gruppi APT russi: secondo il Microsoft Digital Defense Report relativo al periodo da luglio 2020 a giugno 2021, il 58% di tutti gli attacchi osservati proviene da gruppi sponsorizzati dalla Russia. A titolo di esempio si possono citare Sandworm, The Dukes, Turla e Gamaredon.

Il messaggio è quindi chiaro: nel contesto geopolitico attuale è chiaro fin dall’inizio che stiamo assistendo a una guerra ibrida in cui la componente cyber non è di secondo piano rispetto alle forze militari in campo. Che il conflitto cyber potesse uscire dai confini ucraini era pressoché scontato, quindi quanto accaduto ieri era altamente prevedibile, e non sarà certo un episodio isolato. L’attenzione deve restare alta non tanto perché potrebbero ripetersi attacchi DDoS, ma perché l’escalation da azioni tanto fastidiose quanto innocue, ad atti devastanti potrebbe prendere forma in qualsiasi momento.