Killnet: identikit e cronistoria degli attacchi del gruppo hacker filo-russo
Nelle ultime settimane il gruppo di Hacktivisti filorusso Killnet ha colpito diversi siti istituzionali italiani con attacchi cyber. Vediamo meglio di chi si tratta
Killnet è gruppo di Criminal Hacker apertamente schierato dalla parte della Russia, impegnato in questo ultimissimo periodo a colpire con azioni di disturbo le infrastrutture digitali dei Paesi che supportano l’Ucraina. Nelle ultime settimane ha iniziato a prendere di mira anche l’Italia.
Come sappiamo, questi criminali informatici hanno già causato il down del sito dell’Aci, del Senato e della Difesa.
Le origini
Killnet nasce come un gruppo di sviluppatori di una botnet per attacchi DDos – con dalla loro parte un numero elevatissimo di bot, dai 500.000 ai 700.000.
Per capire meglio chi si nasconde dietro questo collettivo ci vengono in aiuto altri hacktivisti – questa volta pro-Ucraina.
Lo scorso 3 aprile, infatti, Killnet è stata attaccata dalla gang di hacktivisti AgainstTheWest, i quali hanno reso pubblici i dati personali di alcuni membri di alto rango della gang.
Le informazioni hanno rivelato che i leader della gang hanno circa 20 anni; uno di questi, con l’acronimo V.D., sarebbe residente a Belgorod in Russia. Il gruppo gestisce un canale Telegram con più di cinquantamila partecipanti e si autodefiniscono “un movimento volontario di cybertalenti specializzati nel DDOS”.
L’Italia sotto attacco
Il primo attacco da parte del gruppo al nostro paese si è verificato l’11 maggio, intorno alle 17, quando i siti del ministero della Difesa, del Senato, dell’Istituto superiore di sanità e dell’Automobile club d’Italia hanno smesso di funzionare. Probabilmente l’attacco è motivato dal fatto che l’Italia oltre ad appoggiare Kiev, si trovava – nella figura del presidente Draghi – a colloquio con gli Stati Uniti proprio per discutere i risvolti della crisi.
Più precisamente, i siti web colpiti sono stati indicati su un messaggio Telegram nel gruppo, tra cui:
L’attacco effettuato è stato di tipo DDos. Questo consiste nell'inviare enormi quantità di dati a un obiettivo da diverse fonti per impedire a un utente, un gruppo di utenti o un'organizzazione di accedere a una risorsa. Detto in parole semplici: il sito viene “sommerso” di richieste a cui non riesce a far fronte e quindi diventa non disponibile andando in sovraccarico.
Sempre nella stessa chat Telegram, inoltre, la gang cita anche “Mirai”, un malware molto noto che infetta i dispositivi IoT per aumentare gli accessi ai portali scelti come target. Inoltre, dal proprio canale di messaggistica istantanea, la gang continua a pubblicare i siti da colpire, un messaggio cita il quotidiano “Il Messaggero”, il quale ha riportato l’attacco in alcune notizie.
Gli hacker scrivono “Da dove vi è venuta l’idea che vi abbiamo attaccato? F*ttuti media, è tempo di rimettervi al vostro posto…Non c’è verità in quello che scrivete.”Questo perché i gruppi Killnet e Legion (una sorta di collettivo gemello di Killnet che funge da Accademia) definiscono gli attacchi “esercitazioni cyber”, sottolineando il fatto che se stessero sferrando un vero attacco, sarebbe estremamente distruttivo.
Il presidente del Senato Maria Elisabetta Alberti Casellati ha confermato la natura dell’attacco e ha dichiarato che non ha causato alcun danno. Dopo le 20 il sito è tornato online.
Un altro attacco è stato sventato all’Eurovision Song Contest, nel giorno della finale, dopo che la società creatrice dell’evento ha deciso di escludere la Russia dall’evento. Legion ha quindi pubblicato un messaggio Telegram sul proprio canale, mirando al blocco del sito ufficiale dell’evento e delle votazioni. Durante la serata della finale, il “Capo Supremo di Legion” ha affidato ai membri del canale la missione di trovare i server da cui passavano i voti degli spettatori e di bloccarli fino alle 7 (orario russo). L’attacco è stato sventato grazie alla prevenzione da parte della polizia postale e dei tecnici del Cnaipic, Centro Nazionale Anticrimine Informatico Protezione Infrastrutture Critiche, in accordo con la Rai. Il monitoraggio della situazione è durato più di 1000 ore e ha impiegato più di 100 tecnici.
La battaglia tra Anonymous e Killnet – scontro tra Hacktivisti
Ma Killnet non sta combattendo la sua battaglia su un solo fronte: il 14 maggio Killnet ha dichiarato di aver attaccato anche la sua “controparte” Anonymous: questi ultimi hanno risposto con un video direttamente per Killnet, facendogli sapere che sanno chi sono, che hanno informazioni sui loro familiari, intimandoli a non colpire siti governativi.
Il 16 maggio, inoltre, Anonymous ha rilasciato 4096 indirizzi IP che sono stati usati nella cyberguerra tra Russia e Ucraina da parte di Killnet per effettuare attacchi DDos.
Al momento questi attacchi sono tutti DDoS, ovvero dimostrazioni di forza da parte delle gang. Il 16 maggio Killnet ha dichiarato guerra a 10 paesi, tra cui noi.
Il commento dell’esperto
“Gli attacchi lanciati anche nei confronti del nostro Paese dal collettivo di Hacktivisti pro Cremlino Killnet negli ultimi sette giorni sembrano far emergere la controparte russa di Anonymous, autore di diversi attacchi contro siti e media governativi russi” spiega il Ceo di Swascan, Pierguido Iezzi.
Ma secondo una recentissima analisi realizzata dalla società milanese le attività di questo gruppo osservate fin ora potrebbero non essere che un semplice preambolo ad altre offensive.
“Non c'e' dubbio che l'ascesa di Killnet sia stata dirompente e che questo collettivo di Hacktivisti sia pronto a dare filo da torcere non solo alla sua 'controparte' Anonymous, ma anche a tutti quei Paesi Nato coinvolti nello scontro in Ucraina. A differenza di Anonymous, Killnet si è dotato di una struttura di stampo militare con tanto di accademia - un altro collettivo hacker noto come Legion - e di vere e proprie 'divisioni”, continua l’esperto.
“L'Italia sembrerebbe essere stata oggetto delle mire di due di queste in particolare: Mirai e Jackie. Per il momento si e' trattato di soli attacchi di DDoS, ma - se quanto dichiarato sulle chat Telegram e Dark Web si rivelasse vero - questo potrebbe essere un semplice 'assaggio' di quanto abbiano in serbo i vari collettivi che compongono Killnet e Legion”.
Secondo l'esperto, ben presto potremmo assistere a defacement di siti istituzionali o addirittura a possibili esfiltrazioni di dati favoriti da attacchi contro sistemi esposti in rete e non sicuri. Potrebbero ben presto essere impiegati anche dei wiper, ossia dei malware in grado di cancellare completamente i dati di un pc bersaglio.
“La natura di stampo attivista di questi gruppi li rende ancora piu' imprevedibili di una classica gang schierata nello scacchiere del conflitto tra Mosca e Kiev, ma per il momento le loro attivita' rientrano nella categoria dell'hacktivismo e non della cyberwar. Cio' non significa che siano meno pericolose”, conclude Iezzi.
