Le preoccupazioni dell’intelligenceL’attacco hacker ai siti istituzionali contro «l’Italia russofoba»

I siti di aziende, ministeri e banche sono finiti nel mirino del collettivo filorusso “NoName057” dopo la visita di Meloni in Ucraina. Gli 007 sono preoccupati: i software utilizzati sono più sofisticati e maggiori sono le risorse economiche messe in campo

«Mamma mia». Poi un orso e la bandiera tricolore. La premier Giorgia Meloni aveva appena terminato la conferenza stampa congiunta a Kyjiv con il presidente Zelensky, e immediatamente sono partiti gli attacchi di hacker filorussi. Un gruppo che usa il nome collettivo “NoName057” ha tentato un attacco di tipo DDos (Distributed Denial of Service) – niente furto di dati, ma sistemi informatici mandati in tilt – contro i siti di enti pubblici e società private in Italia, tra banche, aziende e ministeri. Obiettivo dichiarato: «Smascherare l’Italia russofoba».

Sono stati colpiti i server dei Carabinieri, del ministero degli Interni, alcuni pezzi della Difesa, il portale per il rilascio delle carte di identità elettroniche, un paio di ministeri, la società di utility A2a e il sito di Tim. Danni minimi, quasi nulli, ma un segnale che non piace per nulla alla nostra intelligence – spiega Repubblica.

Per la prima volta, dall’inizio del conflitto in Ucraina, si è trattato di un attacco dalla chiara matrice politica. Come sempre avviene in questi casi, è di fatto impossibile risalire al mandante: si sa che “NoName57” è un collettivo particolarmente vicino ai servizi russi che non ha mai nascosto di lavorare «al fianco della propria Patria», scrivevano a marzo dello scorso anno quando per la prima volta sono apparsi sulla scena attaccando alcune infrastrutture strategiche dei paesi dell’ex Unione sovietica non schierati con Putin. Nessuno però potrà mai provare che a ordinare l’attacco di ieri sia stato il Cremlino.

Non c’è stata alcuna richiesta di riscatto. Ma soltanto il tentativo di paralizzare alcuni servizi essenziali per lanciare un segnale politico. La rivendicazione non lascia spazio alle interpretazioni: «Dopo la colazione con i croissants francesi, siamo andati a mangiare una pizza in Italia», hanno scritto sui propri canali Telegram. «L’Italia fornirà all’Ucraina il sesto pacchetto di assistenza militare, che includerà tre tipi di sistemi di difesa aerea. Come ha detto il primo ministro italiano Giorgia Meloni durante una conferenza stampa a Kyjiv, si parla dei sistemi anticarro Sampt-t, Skyguard e Spike. Per questo continueremo il nostro affascinante viaggio attraverso l’Italia russofoba».

L’Italia, grazie al lavoro di questi mesi dell’Agenzia di cybersecurity diretta da Roberto Baldoni, è stata in grado di rispondere immediatamente e di evitare collassi sulla rete. In questi mesi è stato organizzato un sistema in grado di bloccare l’accesso da Ip esteri, in modo da ridurre i danni in casi di questo genere.

Ma a preoccupare gli esperti italiani è l’escalation a cui stiamo assistendo da settimane: il numero di attacchi nel 2022 è salito del circa il 40 per cento rispetto allo scorso anno. Negli ultimi due mesi c’è stata un’ulteriore crescita. E la qualità delle incursioni è notevolmente cresciuta. I software utilizzati sono più sofisticati e maggiori sono le risorse economiche messe in campo. Questo significa che chi sta giocando questa partita ha deciso di alzare l’asticella.

Quello di NoName057 rientra in un filone classico dei cyber-attacchi, chiamato DDos, Distributed Denial of Service: un’offensiva in cui un gran numero di computer o dispositivi inviano una enorme quantità di traffico verso un sito specifico, con lo scopo di intasarlo e renderlo inaccessibile (o lentissimo). In questo caso però si sarebbe trattato di un sottotipo particolare del DDoS, chiamato «Slow Http Attack». Come spiega il sito specializzato Red Hot Cyber, in questa cyber-offensiva, detta anche Slowloris, l’attaccante invia una richiesta Http con una velocità molto rallentata. La connessione così rimane forzatamente aperta, con il server in attesa della sequenza di caratteri «di chiusura richiesta» del client. Rallentando moltissimo la richiesta, l’attaccante mette nella condizione il server di attendere il codice all’infinito. In questo modo il server deve tenere attive molte connessione nello stesso tempo e le sue risorse vengono saturate. Gli utenti che cercano di collegarsi non riescono così a trovare soddisfazione alle loro richieste di accesso.

Entra nel club, sostieni Linkiesta!

X

Linkiesta senza pubblicità, 25 euro/anno invece di 60 euro.

Iscriviti a Linkiesta Club