Questo articolo è stato pubblicato da questo sito
Una “esercitazione cyber”. Così il gruppo cyber filorusso Killnet si fa beffe dell’Italia su Telegram in un post-manifesto l’operazione di attacco distributed denial of service (ddos) condotta mercoledì 11 maggio dai colleghi di Legion, anch’essi dalla parte del Cremlino, contro i siti di alcune istituzioni italiane, tra cui il Senato, il ministero della Difesa, l’Istituto superiore di sanità (Iss) e l’Automobile club italiano (Aci).
Il messaggio, postato alle 11.35 e rivolto a Italia e Spagna, sostiene che “Legion ha condotto esercitazioni militari cyber nei vostri paesi per accrescere le proprie capacità”. Legion e Killnet, la prima costola della seconda, sono unità filorusse e schierate contro la Nato. E contro i Paesi che ne fanno parte e hanno preso posizione contro l’invasione russa dell’Ucraina. Anche Polonia, Germania e Romania sono finite nel mirino dei due gruppi cyber.
L’attacco ddos ai siti italiani:
Il messaggio contro
“La nostra Legion sta imparando ad annientare i vostri server. Dovete capire che questa è un’esercitazione”, si legge ancora nel messaggio su Telegram, con cui Killnet contesta l’ampia copertura mediatica data dalla stampa italiana all’attacco ddos.
Anche Legion, in un messaggio pubblicato alle 3.42 di notte del 12 maggio, parla di “attacco dimostrativo” del distaccamento Mirai, una delle squadre in cui sarebbero organizzati gli attaccanti e dispiegata proprio sull’operazione contro l’Italia. Il messaggio fa riferimento però ai soli siti di Senato, della banca dati Kompass e del sito Guida edilizia (quest’ultimo non menzionato nel post che annuncia l’attacco ddos). Tutti risultano operativi al momento della pubblicazione di questo articolo. Nel complesso erano sette i siti nel mirino: Senato, ministero della Difesa, Aci, Iss, Kompass, la scuola Imt alti studi di Lucca, un centro di ricerca toscano in ambito economico, sociale e tecnologico, la società Infomedix Odontoiatria Italia e il sistema di voto dell’Eurovision.
Stop ai contratti degli enti pubblici anche con Group Ib e Positive Technologies. Al via il processo per migrare verso altri fornitori. L’Agenzia per la cybersicurezza nazionale emana una circolare ufficiale
L’indagine dell’Antiterrorismo
Sull’attacco, come riferisce l’agenzia Ansa, indagano i pubblici ministeri dell’Antiterrorismo di Roma, coordinati dall’aggiunto Michele Prestipino. Una prima informativa del Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche della Polizia postale (Cnaipic) è stato tramesso in Procura a Roma. Gli inquirenti procedono per accesso abusivo a sistema informatico.
Il tipo di attacco, secondo le ricostruzioni, è di tipo ddos. In sostanza, si sovraccarica di richieste un sito fino a metterlo ko. Una tattica semplice quanto efficace. Lo ha lanciato Legion alle 16.49 dalla sua chat Telegram, chiamando in causa la squadra detta Mirai, che poi ha fatto rimbalzare su altri canali della galassia Killnet gli obiettivi dell’operazione. Il nome del team, Mirai, ha acceso una lampadina nel mondo della sicurezza informatica: che il gruppo adoperi la botnet creata dal malware Mirai, una rete di dispositivi zombie che possono essere usati per sferrare attacchi informatici su larga scala.
L’analisi dell’attacco
Successivamente all’attacco, le istituzioni coinvolte si sono affrettate a rassicurare sulla tenuta della loro infrastruttura. Il ministero della Difesa ha anche giustificato l’inaccessibilità del proprio portale dicendo che era in manutenzione. Per il capo globale della sezione analisi minacce della società di cybersecurity Darktrace, Toby Lewis, “gli attacchi ddos sono il modus operandi preferito da Killnet: attacchi non particolarmente sofisticati e relativamente facili da mitigare, ma gli hacker di questo gruppo sanno di essere in grado di conquistare le prime pagine dei giornali e generare discussioni a livello globale”.
