Attacchi informatici, cosa si conosce di NoName057

Attacchi informatici, cosa si conosce di NoName057

Dobbiamo farci l'abitudine e soprattutto dimostrarci pronti per questi episodi, sempre più frequenti. Si può riassumere così quanto accaduto questa mattina in Italia, quando un attacco informatico ha preso come obiettivi i siti internet degli aeroporti di Milano, Linate e Malpensa, quello del Ministero degli Esteri, il portale di Siena Mobilità, del Gruppo Trasporti Torino e di Federtrasporto.

Per ore, tentando il collegamento si riceveva in cambio un messaggio di non funzionamento della pagina, ma nulla di più, mentre a rivendicare l’azione su Telegram è stato il collettivo hacker filorusso NoName057, che ha pubblicato questo messaggio: “I russofobi italiani ricevono una meritata risposta informatica”. Ma a parte il blocco dei servizi associati a queste pagine, come la consultazione dei voli in partenza e arrivo negli scali lombardi coinvolti, non ci sarebbero state ripercussioni dirette sul trasporto aereo e l'evento è stato catalogato come di tipo Ddos (da Distributed Denial of Service – Negazione del servizio distribuita), e causato da un eccessivamente intenso traffico di richieste affettuato da diverse postazioni ai server da colpire, che oltre un determinato volume di traffico non possono gestire, bloccandosi. Riconosciuto l'attacco sono state attivate le indagini da parte del Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (Cnaipic), appartenente alla Polizia Postale, il cui lavoro sarà innanzi tutto quello di identificare la provenienza degli attacchi e di supportare le realtà colpite dal blocco nelle operazioni di ripristino e migliore protezione dei sistemi informatici che si sono rivelati vulnerabili.

Tale tipo di eventi sono sempre più frequenti e certamente la posizione italiana a supporto dell'Ucraina ci rende tra le nazioni più colpite. Il ministro degli Esteri Antonio Tajani, interpellato durante i lavori per l'approvazione della manovra economica, ha commentato: “Si tratta de terzo attacco hacker nel giro di tre giorni e il mio dicastero sta lavorando per reagire con grande fermezza agli attacchi cibernetici che vengono dall'estero. Li stiamo respingendo tutti, tuttavia, innalzeremo la soglia di sicurezza per tutte le sedi italiane nel mondo. Ho già dato mandato al segretario generale della Farnesina di preparare una riforma del ministero per dare vita a una direzione generale che si occupi di sicurezza cibernetica e intelligenza artificiale.”

Con una nota alla stampa il Gruppo Trasporti Torino (Gtt) ha dichiarato che nessun hacking (atto di pirateria informatica) è riuscito a compromettere i sistemi e che il sito web è rimasto attivo senza interruzioni e senza alcun problema tecnico”

Stando a quanto si conosce del gruppo NoName057, si tratterebbe di un sodalizio formato da criminali informatici, volontari e filo russi, apparso con tale nome per la prima volta nel 2022 e che da allora ha rivendicato svariati attacchi cibernetici dapprima contro obiettivi ucraini, quindi europei e statunitensi, indipendentemente che si trattasse di aziende tecnologiche o portali governativi. Il gruppo è apparso anche con le sigle NoName057(16), NoName05716, 05716nnm e Nnm05716, e si è dichiarato pro-Russia insieme all'organizzazione Killnet e ed altri gruppi. A dicembre 2022 pare che NoName057 sia stato la causa dell'interruzione del sito internet del governo polacco. Per compiere tali attacchi utilizzano una piattaforma appositamente realizzata e chiamata Ddosia attraverso la quale possono essere ingaggiati e, a pagamento, effettuare questo tipo di operazioni illegali. Nell'ultimo biennio hanno attaccato i server di nazionalità alleate all'Ucraina e posizionati in Lettonia, Estonia, Polonia, Lituania, Finlandia, Norvegia, Regno Unito, usa e Italia. Nelle giornate dell'otto e del nove marzo 2023, NoName057 attaccò diversi siti web istituzionali italiani in occasione della visita del presidente Zelensky. Da una ricerca sul portale SentinelLabs, che si occupa di analisi di sicurezza, pare che NoName057 abbia almeno sei “host” conosciuti, ovvero sei piattaforme che lanciano gli attacchi e conservano l'applicazione Ddosia. Uno di questi sarebbe in Bulgaria (presso il provider Neterra), e avrebbe nome “31.13.195.87” con associati i domini “zig35m48zur14nel40[.]myftp.org e tom56gaz6poh13f28[.]myftp.org”. Da qui partirebbero le connessioni verso il nodo “87.121.52.9” che pare associato al profilo Telegram dell'organizzazione. Le attività continuano poi fuori dal provider Neterra verso il russo Cloudassets e da qui ad altri host da quali le informazioni vengono distribuite su una sessantina di nodi in continua variazione. Nel tempo taluni centri sono stati bloccati e sono stati riconosciuti i linguaggi infornatici utilizzati, come Python e Golang, come è stata scoperta la possibilità di pagare per ottenere un'analisi preventiva degli obiettivi da colpire. Non si tratta di campagne d'attacco particolarmente feroci, bensì sufficienti per inibire l'utilizzo delle piattaforme colpite per un tempo limitato, anche passando da decine di indirizzi IP nel Regno Unito e in Olanda. Si calcola che già nel 2023 il numero degli utenti Ddosia avesse superato il numero di 7.300. Per questo motivo è sempre più importante la collaborazione tra le forze che si occupano di pirateria informatica nei diversi Paesi, anche perché più pirati vengono arruolati dal gruppo, maggiori sono i volumi degli attacchi che possono compiere. Per dare un'idea del traffico sviluppato, nel giugno 2023 al server di un'azienda finlandese arrivarono oltre 54.800 richieste di connessione in pochi secondi, che bloccarono ogni attività.