NoName057 colpisce ancora in Italia: nuove vittime

Torniamo nuovamente a parlare di attacchi hacker e soprattutto di quelli provenienti da gruppi filorussi, tra i quali sembra che, per quel che riguarda l’Italia, sia sempre più attivo NoName057. Abbiamo già visto in vari altri articoli la lunga lista di attacchi perpetrati verso siti di istituzioni e di aziende strategiche, molti dei quali spesso mitigati nel giro di poco tempo a causa della scarsa efficacia dell’offensiva così come dell’azione tempestiva delle forze armate e dell’Agenzia per la Cybersicurezza Nazionale.

Nei primi giorni di agosto una vera e propria offensiva è stata infatti scagliata verso diversi obiettivi italiani da parte degli ormai noti hacker filorussi, che col passare dei giorni hanno rivendicato  tramite i loro canali di aver colpito nel segno. Dopo un’apparente calma, già il 31 di luglio NoName057 avrebbe colpito dapprima diversi siti di trasporti di altrettante città italiane, iniziando con AMAT, azienda di mobilità pubblica di Palermo che è rimasta ferma per diverse ore insieme ad un secondo obiettivo, ovvero il servizio di car sharing dello stesso capoluogo siciliano. Il giorno dopo è stato il turno di Siena Mobilità, anch’essa rimasta ferma per diverso tempo prima della mitigazione dell’attacco. Nelle ore successive sono state colpite altre aziende di mobilità di altre città come Napoli, Cagliari e Venezia, tutti attacchi rivendicati da NoName057 che ha approfittato per lanciare messaggi di propaganda.

Arrivando al giorno 1 di agosto gli obiettivi del collettivo filorusso sono diventati i gruppi bancari con attacchi mirati alle pagine di login ai servizi di online banking del Monte dei Paschi di Siena, Fineco, BPER, Intesa Sanpaolo, Fideuram e Che Banca. L’offensiva, consistita in una serie di richieste alle pagine di accesso mirate a bloccare quest’ultime, è durata poco tempo per tutti gli istituti, con qualche obiettivo che è riuscito comunque a garantire l’accesso agli utenti italiani. Il giorno seguente gli hacker si sono invece spostati sulle testate online, inondando di chiamate i siti di alcuni tra i portali più importanti d’Italia come quelli di ANSA, Corriere della Sera, Milano Finanza ed altri, che comunque pare abbiano resistito garantendo continuità nei servizi.

Il giorno 3 di agosto gli obiettivi sono nuovamente cambiati e NoName057 è passata all’attacco verso i siti di alcuni importanti provider di servizi di telefonia e rete. Nella giornata infatti sono andati in down i siti di Iliad (seppur solo alcune pagine selezionate), PosteMobile e Very Mobile, che attivando però il geoblocking delle chiamate sono riusciti a reggere l’onda d’urto ritornando online in poco tempo. Nei giorni immediatamente successivi il collettivo filorusso è tornata poi alla carica verso i siti delle aziende di mobilità sopracitati, riuscendo a far tornare in down alcuni dei servizi, e di altre banche oltre che di alcuni siti istituzionali.

Tutte le offensive lanciate, che al momento sembrerebbero essere in un momento di pausa, sono state veicolate come attacchi DDoS, un vettore che mira a mandare in overload le pagine dei siti colpiti rendendoli inutilizzabili. Come abbiamo più volte visto nel corso dei mesi, NoName057 utilizza questo sistema in ogni attacco perpetrato non riuscendo però a colpire tutte le volte nel segno, mentre in altri casi si è preso la responsabilità di offensive mai lanciate, di modo da aumentare la sua notorietà.

Uno dei consigli che vengono maggiormente dati alle aziende che si trovano ad affrontare un attacco DDoS è, sul momento, quello di bloccare gli IP di tutti i paesi esteri o di alcuni paesi selezionati dopo aver analizzato la provenienza del traffico malevolo. Questa è però una soluzione da applicare nel breve periodo, poiché è sempre meglio aggiungere sistemi di CDN (Content Delivery Network) e Firewall in grado di setacciare in modo attento il tipo di traffico in entrata e portare sulle pagine solo le richieste legittime, qualsiasi sia il paese di provenienza dell’IP. Per quel che riguarda NoName057 è chiaramente lecito attendersi altre offensive, poiché ha preso di mira tutti i paesi che stanno sostenendo l’Ucraina nella guerra che sta andando avanti dal febbraio 2022 a seguito dell’invasione della Russia.

 

Fonte: 1