I lettori di questo blog con la memoria maggiormente lunga si ricorderanno sicuramente della lunga ondata di attacchi DDoS subiti da settori strategici italiani, sia pubblici che privati, a partire dall’inizio dell’invasione della Russia ai danni dell’Ucraina. In quei casi, che abbiamo puntualmente raccontato, i responsabili provavano a fare breccia utilizzando i classici picchi di traffico al fine di “intasare” i server di chiamate e non fare funzionare i servizi alle vittime. Nel mirino di questi attacchi sono finiti i portali dei ministeri, delle forze armate, di aziende del settore energetico e dei trasporti, sia pubblici che privati o semi-privati. I responsabili di questi attacchi erano quasi sempre i membri del collettivo NoName057(16) (da ora in avanti lo chiameremo solo NoName o NoName057), tutti filo-russi che provavano a minacciare il nostro paese bloccando, senza riuscirci mai del tutto, i sistemi più importanti o i servizi necessari. Oltretutto, questo collettivo si è spesso vantato di successi anche a seguito di blocchi di sistema non dovuti alle loro operazioni bensì a semplici problemi dei siti, facendo credere di aver fatto breccia con uno dei loro attacchi DDoS.
Ebbene, il collettivo NoName057 non ha agito solo in Italia ma anche in tutti gli altri stati che hanno sostenuto e continuano a sostenere l’Ucraina fornendo ogni tipo di supporto, e ciò ha fatto scattare un’operazione massiccia per cercare di smantellare questa rete di hacker. L’Operazione, che è stata nominata Eastwood, vede coinvolti sia l’Europol che Eurojust, è una delle più imponenti che siano mai state portate avanti nel vecchio continente a livello cyber ed ha mirato allo smantellamento dell’intera infrastruttura ostile. Col tempo si è scoperto (e visto con facilità) che il collettivo NoName non era composto da persone particolarmente competenti e non aveva neanche un vertice vero e proprio, ma si era fondata sull’ideologia, entrando nel solco di quello che viene chiamato Hacktivism, ma remunerando coloro che agivano in nome della Russia.
Come detto, gli obiettivi andavano dalle strutture ucraine a quelle degli altri paesi che le sostenevano e gli attacchi, cominciati nel 2022 all’inizio dell’invasione, stanno continuando a protrarsi. L’ultimo di essi per esempio è quello che si è svolto durante il meeting NATO di poco tempo fa, durante il quale sono stati lanciati moltissimi attacchi DDoS. Viene spontaneo chiedersi come sia possibile che i componenti di NoName057 fossero in grado di lanciare attacchi pur non essendo troppo competenti tecnicamente. Questo è stato possibile grazie all’utilizzo di piattaforme che facilitano il compito, dopo aver creato ovviamente una botnet di proprietà del gruppo hacker, che ha allocato server in vari territori internazionali. L’Operazione Eastwood è riuscita, con la collaborazione di forze di polizia provenienti da 13 stati europei e non, oltre al ricorso dei tecnici provenienti da aziende private, a smantellare una rete di oltre 100 server e a mettere agli arresti due persone, catturate in Francia e Spagna. Inoltre sono stati spiccati vari mandati d’arresto internazionali, che coinvolgono ovviamente anche cittadini russi, e varie perquisizioni delle case dei sospettati in giro per tutto il continente. Oltre a queste operazioni di polizia, le forze dell’ordine hanno anche inoltrato vari messaggi su diverse piattaforme di messaggistica per dire alle persone di non unirsi al gruppo, spiegando loro quali erano i rischi. Messaggi, questi, che sembrano essere stati inoltrati a migliaia di iscritti oltre a poco più di una dozzina di amministratori.
Quella che sembra una logica scelta di collaborazione è invece un evento che non ha assolutamente nessun tipo di precedente, ovvero uno sforzo delle forze nazionali di 5 diversi stati unite da Europol, che ha coordinato il tutto e si è fatta coadiuvare da una task force con personale proveniente da più paesi. È poi entrato in gioco anche la già citata Eurojust, che ha gestito la parte legale, rendendo il tutto più armonico e dritto al punto, in special modo la parte d’azione che ha visto effettuare sequestri, perquisizioni ed arresti. Per essere totalmente chiari sulla vicenda, però, è corretto segnalare che questo lavoro di smantellamento è soltanto iniziato e che la battaglia contro questa rete di criminali è ancora lunga. Nonostante NoName057 non venga visto come una minaccia persistente (APT) sovvenzionata direttamente dalla Russia, esso agisce per diffondere propaganda di quest’ultima, partecipando di fatto in modo attivo ad una sorta di guerra che si gioca online. Sicuramente questo non annebbia i complimenti alla UE, che sono doverosi in quanto sembra che si sia fatto un netto passo avanti aumentando controlli e potenza di fuoco, vedremo se questa cosa avrà seguito anche nei prossimi mesi ed anni. Ciò che è certo è che il collettivo filorusso non è stato del tutto disgregato e potrebbe tornare a colpire anche e soprattutto per via della risposta che vorrà dare all’attacco.
Fonte: 1
