di Lucia Abbatantuono
Stamane, con un messaggio condiviso su Telegram, il famigerato gruppo cybercriminale KillNet ha rivendicato la responsabilità dei recenti attacchi DDoS (Distributed Denial of Service) ai danni della Nato. “Stiamo effettuando attacchi alla Nato. Dettagli in un canale chiuso“ – hanno scritto. Gli hackers filorussi, particolarmente attivi dall’inizio dell’invasione russa in Ucraina, hanno eseguito in breve tempo migliaia di tentativi di accesso simultanei ai siti dell’organizzazione atlantica, riuscendo così a a far crollare i server e sferrando un attacco semplice ma incredibilmente potente. Tra i bersagli prescelti, anche il sito web del quartier generale delle operazioni speciali della Nato, rimasto inattivo per un paio d’ore prima di essere ripristinato. Si tratta di un tipo di attacco che sfrutta i limiti di un‘infrastruttura web per impedire il normale funzionamento del sito internet a essa collegato. La conferma dell’attacco è arrivata ufficialmente dalla Nato alla stampa internazionale dopo che sui social diversi profili avevano segnalato, durante la giornata di ieri, ripetuti problemi di accesso ai portali dell’Alleanza (compreso quello al Quartier Generale delle Operazioni Speciali). Sul piano pratico, sono stati interrotti tutti i contatti tra la NATO e gli aerei militari impegnati a portare aiuti alle vittime del terremoto che ha distrutto Turchia e Siria, mettendo seriamente a rischio le azioni di soccorso. Anche base americana di Ramstein, in Germania, sarebbe stata vittima di attacco cyber. Da parte sua la Nato ha subito tranquillizzato gli animi annunciando di essersi adoperata per risolvere rapidamente il problema. “Gli esperti informatici della Nato stanno attivamente affrontando un incidente che ha colpito alcuni siti web della Nato“ – ha riferito un funzionario – “La Nato si occupa regolarmente di incidenti informatici e prende molto sul serio la sicurezza“. Tutte le agenzie di sicurezza informatica occidentali hanno sempre descritto KillNet come un gruppo di attivisti pro-Cremlino con un debole per i siti web militari e governativi dei paesi che supportano l’Ucraina, mettendo in pratica attacchi DDoS che causano interruzioni per diverse ore, ma senza alcun danno significativo o duraturo. Da quando è iniziata la guerra in Ucraina KillNet ha rivendicato attacchi non solo ai siti governativi rumeni e polacchi, ma anche al sito del Parlamento Europeo, per poi colpire alcuni siti di aziende americane e l’infrastruttura web di alcuni ospedali britannici. Ma non solo, perchè bersaglio di Killnet è chiunque sostenga Kiev. Gli attacchi odierni alla Nato sono solo gli ultimi di una vasta serie di attacchi che Killnet ha sferrato proprio contro il nostro Paese: nel maggio 2022 ha compromesso diversi siti del Governo italiano, tra cui quello del Senato e della Difesa. In particolare, il sito del Senato fu messo fuori uso per qualche ora, un pò più a lungo di quello della Difesa, dell’Istituto Superiore di Sanità e dell’Automobile Club d’Italia. Ma le ritorsioni cyber filo-russe hanno già colpito i siti istituzionali del Bundestag tedesco, e non solo: sembra che ci sia proprio KillNet dietro il tentativo di bloccare il sito web dell’ultimo Eurovision Song Contest durante l’esibizione dell’Ucraina, con un attacco DDoS presto intercettato e bloccato dalla polizia di stato italiana. A giugno scorso hanno anche attaccato il sito delle Poste Italiane e della nostra Agenzia delle Entrate, senza danni eclatanti. Più incisivo fu invece il recente crush informatico ai danni del porto di Palermo, che rimase in stallo a lungo. Non può consolarci il fatto che l’altro grande gruppo internazionale di hackers, Anonymous, abbia “dichiarato guerra” a KillNet già dal maggio dello scorso anno. Il primo messaggio mai lanciato da KillNet risale esattamente al 23 gennaio 2022, quando annunciarono su Telegram di aver messo a punto una rete botnet ormai pronta per essere operativa e lanciata sul mercato. KillNet ad oggi non può definirsi come un collettivo monolitico, ma apapre piuttosto come un accentratore di diversi gruppi e molteplici competenze. KillNet è originariamente nato per lo sviluppo di una botnet dedicata a soli attacchi DDoS, quindi una rete formalmente costituita da un numero di zombies variabile dai 500.000 ai 700.000 (per “zombies” si intende il numero di host infetti che possono essere utilizzati per attaccare gli obiettivi). La sua dimensione è stata calcolata sulla base del traffico di rete che la botnet riuscirebbe a generare al secondo (circa 2 Terabit) e si tratta di una grandezza più che sufficiente per mettere in difficoltà anche siti molto ben protetti. Va notato che questa botnet era nata originariamente a scopo di lucro, perchè poteva essere perfino affittata con versamenti tra i 50 e i 3000 dollari, finché non è stato deciso di destinarla totalmente all’attivismo pro-Russia. Il primo attacco ufficiale fatto registrare dal collettivo KillNet è stato quello contro il gruppo Anonymous, appena dopo il loro shieramento al fianco dell’Ucraina contro la Russia, il 25 febbraio 2022. Si sono poi susseguiti, sempre nel febbraio 2022, attacchi diretti contro l’Ucraina, prendendo di mira il sito ufficiale di Zelensky, per poi spostarsi verso la Polonia, ingaggiando il principale hub mediatico polacco PolandHub. Hanno poi subito danni sia il sito dell’esercito ucraino che il sito web di Vodafone – Ucraina. Nella primavera 2022 il gruppo ha iniziato apertamente a chiedere donazioni, arrivando perfino a organizzare una raccolta NFT (una sorta di fundraising digitale) e ad instaurare collaborazioni con un altro gruppo di lingua russa chiamato XakNet, che a sua volta aveva utilizzato la DoS-NET per attaccare il provider internet ucraino VinFast. A metà marzo 2022 il collettivo ha poi aperto l’accesso a chiunque avesse voluto e potuto aiutarli, invitando spammer, designer, pentester, specialisti in attacchi DDoS e phisher a unirsi alla gang. Fin da subito KillNet ha chiarito che l’intera compagine avrebbe avuto tre macro-filoni operativi: un gruppo di attacco, un gruppo di distribuzione/marketing e un gruppo tecnico. Dopo questa generale chiamata alle armi il management ha iniziato a prendere di mira alcuni VIP russi che avevano lasciato il Paese proprio a causa della guerra Russia-Ucraina, o che avevano solo criticato quella che il regime aveva definito “operazione speciale”, come il cantante Maxim Galkin e sua moglie Alla Pugacheva, il cantautore Valery Meladze, la conduttrice televisiva russa Ksenia Sobchak, il comico Ivan Urgant, la showgirl Anastasia Ivleeva e il rapper Morgenshtern. Il gruppo ha anche rilasciato alcune informazioni private su queste persone, violando apertamente la loro privacy. Ha fatto seguito un nuovo attacco al sito web del Ministero dell’Interno della Lettonia, paese in cui era stato arrestato il blogger Kirill Fedorov, accusato di aver sostenuto la Federazione Russa: questo è stato considerato tradimento. Successivamente, KillNet ha attaccato il sito web della Corte suprema polacca, della Banca nazionale polacca e dell’Agenzia statale polacca per gli investimenti e il commercio, perché il Paese stava cercando di avviare una guerra tra Russia e NATO. Da quel momento in poi, KillNet è stato particolarmente attivo su diversi fronti, fino al 20 aprile 2022 quando è iniziata a Tallin l’esercitazione internazionale “Locked Shields”, organizzata dal Centro di eccellenza per la difesa informatica cooperativa della NATO (CCDCOE). KillNet ha colto l’occasione per attaccare per la prima volta il sito ufficiale del centro NATO. Poiché l’esercitazione Locked Shields e il CCDCOE avevano sede in Estonia, il gruppo di hacker ha concentrato il suo attacco anche contro il sito di trasporto ferroviario estone, gli aeroporti di Tallin e Kärdla, il portale statale estone ed entrambi i siti della dogana e del dipartimento dei trasporti. Dopo l’Estonia, KillNet ha continuato a prendere di mira la Repubblica Ceca. Il 27 aprile il gruppo ha hackerato il sito ufficiale del Ministero della Difesa e il portale della pubblica amministrazione ceca, oltre al sito della Polizia nazionale, il sito ufficiale del sistema ferroviario nazionale, la pagina web della Facoltà di Informatica dell’Università di Praga, un servizio di web hosting ceco e tre aeroporti internazionali di Brno-Turany, Ostrava e Pardubice. A partire dagli ultimi giorni di aprile, KillNet ha anche avviato un‘accademia virtuale chiamata Legion, una cyber-coalizione di nuova costituzione che conta ad oggi sei distaccamenti operativi impegnati in attacchi coordinati: tali sottogruppi operativi sono nati ai tecnici con i nomi di Zarya, Impulse, Mirai, Sakurajima, Kaijuk e Jacky. I cyber criminali hanno raccolto un discreto numero di volontari sottoposti a cinque diversi “generali” che poi amministrano le operazioni. L’11 maggio 2022 le divisioni Mirai e Jacky hanno attaccato i siti web appartenenti al parlamento lettone. Lo stesso giorno, Legion ha identificato ulteriori obiettivi su suolo europeo; l’Italia e la Spagna sono state assegnate alla divisione Mirai mentre Polonia e Germania alle divisioni Sakuraijima e Jacky. Va sottolineato che la divisione Legion ha ben specificato fin da subito la totale assenza di ogni restrizione nell’ingaggio degli obiettivi da colpire.
Già secoli fa Edmund Burke sosteneva: “E’ preferibile essere derisi per un’esagerata apprensione, che rovinati da un’esagerata sicurezza“. Ci si augura che la lezione sia finalmente assimilata da chi non può più rimandare la difesa strutturata dagli attacchi dei pirati digitali, che dai classici terroristi si discostano ormai ben poco.