Non si ferma nemmeno la cyberwar che questa volta pare aver preso di mira i sistemi informatici dell’Alleanza Atlantica. La Nato, infatti, sarebbe vittima da ieri di un attacco hacker che ha colpito diversi siti web legati all’organizzazione: lo ha confermato ieri sera una portavoce dell’organizzazione all’agenzia di stampa tedesca Dpa. Non accessibile anche il sito internet del Quartier generale delle operazioni speciali (Nshq), rimasto inattivo solo per un paio d’ore prima di essere ripristinato. Altre organizzazioni colpite dall’attacco sarebbero invece legate alla capacità di trasporto aereo strategico: per questa ragione, secondo voci non confermate, gli hacker russi sarebbero stati in grado di interrompere i contatti tra la Nato e gli aerei militari che forniscono aiuti alle vittime del terremoto turco-siriano che ha causato almeno 28.000 vittime.
Dall’Alleanza, confermando l’attacco degli hacker, giunge solo una succinta dichiarazione: “Gli esperti informatici della Nato stanno attivamente affrontando un incidente che ha colpito alcuni siti web… La Nato si occupa regolarmente di incidenti informatici e prende molto sul serio la sicurezza informatica”.
- L’attacco al nucleare Usa svela le fragilità Usa sulla cybersicurezza
- Cosa sappiamo dell’attacco hacker all’Italia
- “Non sottovalutiamo la cyber war”: cosa possono fare gli hacker di Putin
I sospetti su Killnet
L’attacco sarebbe stato lanciato dal gruppo di hacker filorusso Killnet, già protagonista di attacchi in Germania e in Italia: viene, infatti, considerato tra i responsabili dell’attacco informatico che lo scorso maggio ha messo in ginocchio il sito del Senato, quello del ministero della Difesa e quello della Sanità in Italia. Proprio i suoi attivisti, il 16 maggio scorso, avevano dichiarato guerra cibernetica totale all’Italia.
Killnet è il più attivo degli oltre cento gruppi di mercenari informatici generati dalla guerra cibernetica russo-ucraina. Le tattiche di Killnet si sono consolidate principalmente attorno a “semplici” attacchi Ddos contro infrastrutture critiche, siti web aeroportuali, servizi governativi e società di media all’interno dei Paesi della Nato, inclusi Stati Uniti, Canada, Australia, Italia e Polonia, nonché sostenitori dell’Ucraina praticamente in tutti i Paesi dell’Est Paesi europei, nordici e baltici.
Gli attacchi di Killnet non utilizzano strumenti o strategie particolarmente sofisticati, tanto da essere spesso oggetto di scherno sui social da parte di nerd navigati. Mentre gli attacchi Ddos sono in genere accompagnati da estorsioni, gli attacchi informatici Killnet non includono richieste di riscatto. Nella maggior parte dei casi, gli attacchi hanno causato solo tempi di inattività a breve termine o meno: sebbene Killnet abbia affermato in passato di aver compromesso i server di Lockheed Martin e rubato dati sensibili, dagli Stati Uniti non è mai giunta conferma.
Come avrebbe agito Killnet
Gli hacker avrebbero coordinato migliaia di tentativi di accesso simultanei al sito facendo collassare i server, generando ciò che in gergo si chiama offensiva Ddos, il Denial of service attack. Sui social, a poche ore dai primi disservizi, hanno cominciato a girare le ricondivisioni del presunto video di rivendicazione da parte del collettivo. Nelle immagini che si susseguono, si sovrappongono le operazioni su un computer, ove vengono sovraccaricati gli accessi, e i fotogrammi di una persona che armata di guanti in pelle nera guida una Mercedes al ritmo di musica metal. Alla fine del video una scritta bianca su fondo nero annuncia: “Killnet collective start ddos attacks NATO“. Su Telegram, social prediletto nel mondo russo, esistono invece diversi account sotto il nome di “We are killnet”. Molti di questi risultano inattivi da più di cinque mesi, ma uno di questi riporta, con la data del 12 febbraio, l’annuncio “Stiamo effettuando attacchi alla NATO, dettagli nel canale chiuso”.
Il gruppo Killnet è una vecchia conoscenza dopo mesi di guerra. Le agenzie di sicurezza occidentali lo descrivono come un gruppo di cani sciolti, attivisti pro-Cremlino che mira a bloccare i siti web militari e governativi dei Paesi che supportano l’Ucraina con attacchi DDoS piuttosto semplici. Gli attacchi di solito causano interruzioni di diverse ore e nessun danno duraturo significativo, anche se gli esperti di sicurezza informatica sostengono che il gruppo potrebbe rincarare via via la dose e progettare attacchi più sofisticati.
Comprendere i segnali di un attacco Killnet, tuttavia, può essere un processo non molto rapido. In un attacco Ddos, l’indicatore principale è un picco nel traffico di rete in entrata, seguito dall’esaurimento della Cpu o della Ram e da improvvisi tempi di inattività o guasti del sistema. Gli attacchi di Killnet sono stati per lo più a breve termine, anche se un attacco al governo rumeno è durato diversi giorni (dal 29 aprile 2022 al 1 maggio 2022).
I precedenti di Killnet
Killnet è stata designata organizzazione terroristica dal governo lettone dopo essersi attribuita il merito di un attacco informatico che ha temporaneamente paralizzato i servizi web parlamentari della nazione. Killnet possiede una gerarchia organizzativa strutturata e si ritiene che abbia lavorato in tandem con altri gruppi di hacktivisti filo-russi, incluso XakNet Team. Nel luglio 2022, il leader di Killnet Killmilk ha pubblicato l’annuncio della sua uscita dal gruppo per reclutare nuovi adepti, mentre un hacker soprannominato Blackside, specializzato in ransomware, phishing e furto di criptovalute, è stato annunciato come il nuovo capo del gruppo.
Nel maggio dello scorso anno, la polizia britannica aveva arrestato un militante di Killnet a Londra. In risposta, il collettivo aveva minacciato di disabilitare i ventilatori negli ospedali britannici se la polizia non lo avesse rilasciato. A gennaio, invece, il gruppo è stato accusato di aver rimosso da internet i siti web di 14 ospedali statunitensi, sebbene i sanitari abbiano affermato che l’impatto è stato limitato e che non sono stati rilevati accessi non autorizzati all’architettura informatica degli ospedali.
Nel marzo 2022, poco dopo l’invasione dell’Ucraina, Killnet aveva pubblicato un video di una figura incappucciata con una voce distorta che esortava i russi a non lasciare il Paese ma invece a sostenere la madrepatria. Da allora, si è scontrato nel cyberspazio con il collettivo di hacker filo-occidentali Anonymous che ha attaccato vari obiettivi russi: i suoi attivisti hanno infatti più volte dichiarato di aver “neutralizzato” gli attacchi di Anonymous. Proprio nelle settimane di questa battaglia tra hacker, Killnet riuscì a mettere offline diversi siti istituzionali legati al Bundestag tedesco. Gli hacker di Killnet anche sono sospettati di aver tentato di bloccare il sito dell’Eurovision Song Contest durante l’esibizione dell’Ucraina al concorso del 2022 con un attacco DDoS, poi bloccato dalla polizia di stato italiana: il gruppo ha negato sul proprio canale Telegram che il loro attacco avesse fallito.
Nel frattempo, dal quartier generale della Nato non giunge alcun commento. Sebbene l’Alleanza fronteggi quotidianamente questo tipo di aggressioni informatiche, il diffondersi della notizia dell’attacco è una grave prova della virulenza della cyberwar nonchè una pessima pubblicità per la tenuta del sistema atlantici.