killnet attacco alla PA

L’11 maggio scorso, diversi portali istituzionali italiani, tra cui Senato della Repubblica, Ministero della Difesa e Istituto Superiore di Sanità, sono stati portati offline e resi irraggiungibili per diverse ore.

Si è trattato del primo atto di un attacco informatico dilazionato in più giorni, nel cui mirino non figura soltanto l’Italia.

Il gruppo hacker filo-russo Killnet, parte del collettivo Legion,  ne ha rivendicato la paternità attraverso i canali Telegram

  • Killnet_Channel
  • e Legion_Russia.

Per metterlo in atto è stato sfruttato il malware Mirai, scoperto per la prima volta nel 2016, e specializzato nella diffusione di  DDoS (Distributed Denial-of-Service).

Se confermato, questo sarebbe il primo attacco ufficiale contro l’Italia da parte di gruppi filo-russi dall’inizio del conflitto in Ucraina.

Ma come si è svolta realmente la vicenda?

In questo articolo cercheremo di far luce su motivazioni e conseguenze di quanto accaduto.

La minaccia Killnet

Nell’attacco contro l’Italia, pare che il gruppo hacker Killnet abbia operato come principale attore di minaccia dall’inizio del 2022.

Prima del nostro Paese, erano già state prese di mira società governative e private in altre nazioni, tra cui Stati Uniti, Estonia, Lettonia, Germania, Polonia, Repubblica Ceca e Ucraina.

Da notare, quindi,  gli obiettivi, che includono soltanto Paesi in aperta opposizione alla Russia.

Possiamo recuperare altre informazioni su Killnet da un’intervista con il suo fondatore, pubblicata il 22 aprile 2022.

Conosciuto come Killmilk, questi ha esplicitamente dichiarato: “Killnet è apparso originariamente come servizio commerciale sul dark web“.

Con l’avvio del conflitto in Ucraina, è stato deciso di convertirlo a strumento di guerra cibernetica contro i paesi nemici, quali Ucraina e NATO.

Durante l’intervista Killmilk ha anche puntualizzato: “I nostri obiettivi sono prettamente militari, non tocchiamo la popolazione civile”.

Il principale modus operandi di Killnet, Legion e gruppi simili è quello di creare botnet con centinaia di migliaia di macchine infettate dal famoso malware Mirai e di usarle per perpetrare attacchi DDoS.

Stando a quanto afferma lo stesso collettivo hacker, la botnet utilizzata per diffondere gli attacchi è composta per la stragrande maggioranza da dispositivi stranieri (solo il 6% sono russi) e sarebbe finanziata da appassionati e patrioti che “non hanno nulla a che fare con le autorità”.

Le richieste di supporto finanziario, esclusivamente in criptovaluta, vengono poi diramate tramite i canali Telegram ufficiali.

Cos’è una botnet

Ma facciamo un piccolo passio indietro e analizziamo cos’è effettivamente una botnet.

Una botnet è una rete di computer infettati da malware in modo da poter essere controllati da remoto.

I computer sono così forzati a

  • inviare spam,
  • diffondere virus
  • o lanciare attacchi DDoS

senza che i proprietari dei dispositivi ne siano in alcun modo consapevoli.

È possibile riconoscere un computer infetto facente parte di una botnet nello stesso modo in cui si identificano i malware.

I “sintomi” includono solitamente

  • il rallentamento del device,
  • eventi insoliti,
  • comparsa di messaggi di errore, ecc.

Per rimuovere un PC da una rete di bot, è necessario rimuovere il software dannoso che lo controlla.

Il modo migliore è di solito eseguire una scansione antivirus, così da individuare e rimuovere il malware all’origine della zombificazione del device.

La botnet Mirai

Il malware Mirai è responsabile di molti attacchi DDoS su larga scala già dal 2016.

Il suo obiettivo principale sono i dispositivi Internet of Things (IoT), poiché dotati di una configurazione predefinita poco sicura e piena di falle.

Dal 2016, la botnet dei dispositivi IoT infettati da Mirai ha colpito diversi siti web molto popolari, tra cui GitHub, Twitter, Reddit, Netflix e Airbnb, comportando perdite per centinaia di milioni di dollari.

Da quando il gruppo Mirai ha pubblicato il codice sorgente di malware sui forum di hack, molti criminali informatici lo hanno scaricato e rimaneggiato per dare vita a nuovi software fraudolenti.

Alcuni tra questi prendono di mira vulnerabilità zero-day specifiche, altri mirano a processori incorporati oppure ad operazioni di mining di criptovaluta.

Vari team di ricerca hanno raccolto e monitorato i dati sul collettivo Legion e sul malware Mirai per diverso tempo.

Durante l’ultimo anno, Mirai è risultato costantemente attivo. In particolare, sono stati recentemente scoperti più di 1.000 attacchi da parte di malware basati su Mirai, ognuno appartenente a una diversa tipologia.

Dai dati raccolti, possiamo riscontare un picco ininterrotto nelle offensive di Mirai a partire dalla fine di febbraio 2022.

La correlazione tra questo e lo scoppio del conflitto ucraino è assai probabile e supportata da molte rilevazioni sugli attacchi DDoS eseguite in questi mesi.

Le conseguenze dell’attacco all’Italia

Oltre ai portali di Senato della Repubblica, Ministero della Difesa e Ministero della Salute menzionati in apertura, a finire nel mirino di Killnet in Italia sono stati anche

  • Aci
  • Infomedix
  • e l’Istituto di Studi Avanzati di Lucca

E questo soltanto per citare l’offensiva perpetrata lo scorso 11 Maggio.

Soltanto 4 giorni dopo, il tutto si è ripetuto ai danni del già citato sistema di voto dell’Eurovision, nonché del sito della Polizia di Sato.

Il più immediato effetto è stato quello di cogliere impreparato il Paese. Il che ha dato adito ai suoi organizzatori di farsi beffe dell’Italia sul loro canale Telegram, dichiarando che si era trattato solamente di un atto dimostrativo, quasi solo un’esercitazione.

Non essendone stata compromessa l’infrastruttura, i sistemi sono stati prontamente ripristinati, mentre il gruppo Anonymous Italia è entrato in azione infliggendo un duro colpo all’intero collettivo filo-russo.

Per tutta risposta, Killnet ha emesso una vera e propria dichiarazione di guerra cibernetica nei confronti di tutti i Paesi che si sono apertamente opposti all’invasione Russa in territorio Ucraino, tra cui figura anche l’Italia.

Ma qual è la conseguenza più diretta di questi attacchi all’interno del nostro perimetro cibernetico nazionale? Senza ombra di dubbio la consapevolezza che il gruppo tornerà a colpire.

Si teme soprattutto per società assicurative e istituti bancari, principali attori nella strategia di congelamento dei beni appartenenti agli oligarchi russi.

La priorità risulta dunque essere l’attuazione di norme di sicurezza più stringenti, nonché di una costante implementazione e vigilanza dei sistemi in ottica cybersecurity.

Conclusioni

Gli attacchi informatici visti di recente non sono sconosciuti. Ciò che è nuovo è il fatto che siano stati perpetrati in un contesto politico delicato,   reso tale dall’attuale guerra tra Russia e Ucraina.

Il fatto questi  siano riusciti a interrompere i servizi di rete di server istituzionali implica che il governo italiano e altre istituzioni non sono adeguatamente preparate a fronteggiarli.

Tuttavia, siamo ancora lontani dal definirla una guerra cibernetica vera e propria.

E’ fondamentale, però, creare consapevolezza su ruolo cruciale svolto dalla cybersecurity, anche in un contesto tradizionalmente lontano come quello bellico.

La disinformazione contribuisce ad indebolire le nostre infrastrutture da attacchi futuri.

La comunicazione trasparente aiuterebbe, invece, ad aumentare la cognizione generale sul rischio informatico, tassello irrinunciabile per qualsiasi forma di prevenzione.

Cyberment

Cyberment è un’azienda specializzata in consulenza di sicurezza informatica da oltre 20 anni.

Il nostro red team è composto da hacker etici e esperti specialisti in cybersecurity.

Ci occupiamo di identificare le vulnerabilità informatiche nei sistemi e nelle applicazioni web tramite servizi di Vulnerability Assessment e Penetration Test.

Siamo un’azienda di sicurezza informatica certificata ISO 9001, ISO 27001, nonché azienda etica.
Abbiamo sede legale a Milano e sede operativa a Porto Mantovano, mentre Londra è il cuore del nostro reparto ricerca e sviluppo.

Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci!