All’indomani della visita di Giorgia Meloni in Ucraina nuovo attacco hacker nei confronti dell’Italia. A essere colpiti dal gruppo di filorussi NoName57(16) numerosi siti istituzionali, come quello del ministero degli Esteri, quello della Difesa e quello dei Carabinieri. Ma non solo. Anche banche come Bper e società utility come A2A. La rivendicazione è arrivata in mattinata sui canali Telegram della propaganda russa e sta coinvolgendo una moltitudine di siti, che risultano irraggiungibili. E nuovi attacchi potrebbero giungere nelle prossime ore e nei prossimi giorni.
Il messaggio dell’attacco ha fatto sussultare più di un funzionario governativo questa mattina. «L’Italia fornirà all’Ucraina il sesto pacchetto di assistenza militare, che includerà tre tipi di sistemi di difesa aerea», hanno detto gli hacktivisti di NoName57(16). «Come ha detto il primo ministro italiano Giorgia Meloni durante una conferenza stampa a Kiev, si parla dei sistemi anticarro SAMP-T, Skyguard e Spike. Oggi continueremo il nostro affascinante viaggio attraverso l’Italia russofoba», hanno detto. Infine l’ammissione: «Il sito dei Carabinieri Italiani (una delle formazioni militari subordinate al Ministero della Difesa) è stato attaccato». Ma non solo.
Anche gli Esteri risultano sotto attacco, così come la Difesa, che sono on e off a seconda della potenza dell’azione, che va a ondate. La resilienza del sito degli Esteri è stata notevole, confermano fonti vicine al dossier, ma ci sono stati momenti difficili. Di contro, quello dei Carabinieri è stato reso indisponibile anche sul fronte dei certificati di sicurezza. Nello specifico, la dicitura “NET::ERR_CERT_REVOKED” sul sito dell’Arma rappresenta un breach molto più invasivo delle prime stime, dal momento che NoName57(16) ha revocato il certificato di sicurezza del sito web, fattore che espone gli utenti al furto di identità e alle password.
Nei sei messaggi con cui il gruppo di hacker russi rivendicano altrettante azioni contro l’Italia, due di queste azioni avrebbero colpito i siti della società energetica A2A e quello di Banca Bper, attraverso quello di Carige. Nessuno dei due siti però sembra al momento riscontrare alcun problema di accesso. L’evoluzione, tuttavia, è ancora in divenire.
Per capire la portata dell’evento di oggi bisogna fare un passo indietro. NoName 057(16) è tra i gruppi russi più attivi nella cyberguerra che affianca il conflitto cinetico in Ucraina. Il gruppo è stato creato un anno fa, a marzo 2022, poco dopo l’ingresso dei carri armati russi nel territorio di Kiev. Si è reso subito protagonista di una serie di attacchi contro enti governativi e infrastrutture critiche in Ucraina e nei Paesi che la supportano. In particolare Polonia, Lituania, Lettonia, Estonia, Slovacchia, Norvegia e Finlandia. È la prima volta che gli attaccanti prendono di mira l’Italia. Anche se non è la prima volta che l’Italia viene colpita da gruppi di hacker filorussi. Lo scorso anno, ad aprile, il gruppo Killnet aveva messo a terra il sito del Senato, della Difesa e degli Esteri in un attacco del tutto simile a quello sferrato oggi da No Name.
Questi attacchi vengono definiti “Slow HTTP Attack” e sono una forma di attacco DDoS (Distributed Denial of Service) in cui l’attaccante cerca di sfruttare le fragilità dei server HTTP, inviando una significativa quantità di richieste parziali di accesso al sito. In altre parole, in questo genere di azione, chi attacca mantiene aperta la connessione con il server per un periodo di tempo molto lungo, spingendo lo stesso server a tenere aperte molteplici connessioni in via simultanea, occupando quindi le risorse del server. E quindi bloccando le richieste che arrivano dagli utenti legittimi. Lo scenario è in evoluzione, e le molteplici criticità dei server italiani – note da tempo – potrebbero essere il chiavistello per un quadro di guerra digitale che potrebbe continuare.