KILLNET E LEGION: l’identikit della gang che ha colpito l’Italia
Il gruppo hacker Killnet, apertamente schierato dalla parte di Mosca
nel recente scontro in Ucraina, ha recentemente preso di mira come
bersaglio l’Italia. Nella mattinata del 16 Maggio 2022, ha infatti
colpito con un attacco DDoS il sito della Polizia di Stato.
Ma
già sin dall’inizio del conflitto, la gang filo-russa ha rivendicato
svariati attacchi dello stesso tipo a siti governativi rumeni, polacchi e
di aziende americane.
Chi si cela dietro Killnet?
Come riportato nell’analisi di marzo relativa alle gang ransomware, lo scorso 3 aprile 2022, Killnet è stato a sua volta vittima di un attacco.
Protagonista il collettivo AgainstTheWest/Bluehornet, che ha proceduto alla diffusione diffusione di alcuni dati personali di quelli che potrebbero essere alcuni dei leader del gruppo (oltre alla scoperta di una botnet direttamente gestita di Killnet).
Da quanto diffuso, si è appreso che probabilmente i “leader” della gang hanno circa 20 anni di età.
Uno
di questi, indicato con l’acronimo V.D, sarebbe residente a
Belgorod/Oblast, in Russia. A lui, da quanto ha rivelato Bluehornet,
sarebbe anche legato un portafogli in cripto valute. Un gruppo di hacker
giovani, dunque, che gestiscono un canale Telegram che vanta 56.840
partecipanti.
Recentemente il gruppo era balzato agli onori della cronaca per la minaccia di interrompere completamente il funzionamento dei ventilatori di ossigeno negli ospedali britannici nel caso in cui non fosse stato rilasciato un loro membro – Ioan Feher – , responsabile di attacchi hacker a siti istituzionali e società private in Romania, colpevoli di appoggiare l’Ucraina.
Oggi il gruppo è legato al collettivo Legion, che unisce gruppi di hacker russi che hanno come finalità l’attacco a siti istituzionali e aziende occidentali. Sul loro canale Telegram, nato il 28 aprile 2022, hanno dichiarato che il loro obiettivo è attaccare “i Paesi Nato e l’Ucraina”.
Legion si presenta come una versione russa di Anonymous, emulandone linguaggio, messaggi e immagini, con la differenza di essersi schierato sul fronte russo. In uno dei primi messaggi postati sul loro canale viene specificato che si tratta di “un movimento volontario di cyber talenti specializzati nel DDOS!”.
GLI ATTACCHI ALL’ITALIA
Il primo massiccio attacco hacker contro l’Italia ha colpito una serie di siti istituzionali (e non) che hanno smesso di funzionare dalle 17.00 alle 20.00 circa di mercoledì 11 maggio 2022.
I siti internet del
ministero della Difesa, del Senato, dell’Istituto superiore di sanità e
dell’Automobile club d’Italia, l’ACI, sono stati irraggiungibili per
diverse ore a causa dell’attacco informatico rivendicato dai due gruppi
di cyber attivisti, Killnet e Legion, che sostengono la Russia nella
guerra all’Ucraina.
Potrebbe trattarsi del primo attacco
informatico avvenuto in Italia direttamente legato alla guerra: da una
parte infatti, entrambi i gruppi pro-Russia, dall’altra l’Italia,
sostenitrice dell’Ucraina.
L’11 maggio alle 16.49 compare il seguente messaggio sul canale Telegram di Legion, chiamando in causa la squadra detta Mirai:
“Squadra “Mirai”, Batti e sconfiggi solo il comandante Mirai, Attacco all’Italia” dice il messaggio, con l’elenco dei siti web colpiti:
- http://www.imtlucca.it
- https://www.iss.it
- https://www.infomedix.it
- https://www.senato.it
- https://it.kompass.com
- https://www.difesa.it
L’attacco è di tipo DDoS, acronimo di Distributed Denial of Service, una tecnica che consiste nel tempestare di richieste un sito, fino a renderlo irraggiungibile. Ma c’è un altro aspetto che non è passato inosservato: Mirai è un nome molto noto nel campo della cybersecurity e si riferisce a un malware in grado di infettare i dispositivi IoT. Una volta entrato in questi dispositivi, Mirai è in grado di orientarli per moltiplicare gli accessi ai portali scelti come obiettivo: si potrebbe ipotizzare infatti che il gruppo adoperi la botnet creata dal malware Mirai per sferrare attacchi informatici su larga scala.
Ma non basta. L’Italia sembra non essere il solo bersaglio: un ulteriore messaggio della squadra “Jacky” (“Squadra Jacky. Visita a questi siti. Chi vuole aiutare “) con bersagli polacchi e tedeschi.
In tarda serata, un’ulteriore squadra denominata “Sakurajima” (Squadra Sakurajima. Visita a questi siti. Chi vuole aiutare) viene richiamata a colpire due noti provider europei di servizi Internet, OVH e Hetzner.
Nel mentre, Killnet se la prende con il quotidiano il Messaggero, riportando sul loro canale Telegram lo screen con l’articolo del quotidiano che li riguarda:
“Da dove ti è venuta l’idea che abbiamo attaccato? Fottuti media, è ora di metterti al tuo posto! Che razza di schifo è questo? Mio figlio, Legion, è molto disobbediente, non è responsabile delle sue azioni. Quindi vai a f*****e tutta l’Europa. Non c’è bisogno di scrivere di noi. Non c’è verità in te.”
Entrambi i gruppi, infatti, definiscono gli attacchi “esercitazioni cyber”:
“La nostra Legion sta imparando ad annientare i vostri server. Dovete capire che questa è un’esercitazione”, si legge nel messaggio su Telegram con cui Killnet contesta l’ampia copertura mediatica data dalla stampa italiana all’attacco ddos.
“Vi do la mia parola d’onore che il nostro esercito cyber concluderà presto l’addestramento sul vostro territorio e passeremo alla fase offensiva. Avverrà all’improvviso e molto velocemente”, la minaccia finale di Killnet.
Anche Legion, in un messaggio pubblicato alle 3.42 di notte del 12 maggio, parla di “attacco dimostrativo” del distaccamento Mirai
A seguito dell’attacco, il ministero della Difesa ha diffuso una nota in cui spiega che l’impossibilità di raggiungere il sito non sarebbe legata a un’azione criminale ma a un’attività di «manutenzione pianificata da tempo». A confermare la natura dell’attacco informatico al Senato è stata invece la presidente del Senato, Maria Elisabetta Alberti Casellati, dichiarando su Twitter che l’attacco hacker non ha causato alcun danno.
Sempre dal Senato hanno fatto sapere poco dopo le 20.00 che il portale dedicato al pubblico è tornato raggiungibile.
Commenti
Posta un commento