Chi c’è dietro l’ultimo attacco hacker ai siti italiani? L’analisi del team di Yarix

NoName057(16). Sarebbe questo, secondo l’analisi di Yarix – società di consulenza che si occupa della divisione di sicurezza digitale di Var Group – il gruppo di hacktivist filorusso che ha colpito alcuni siti istituzionali italiani. A finire sotto attacco sono stati il sito del Governo, del Ministero per lo Sviluppo Economico, dell’Aeroporto Marconi di Bologna, Camera.it, Difesa.it, del ministero degli Esteri e delle Infrastrutture e Trasporti. Sotto scacco anche il sito di trasporto pubblico romano atac.roma.it e il relativo e-commerce, quello milanese, atm.it e autorita-trasporti.it. L’obiettivo degli hacker? Mettere temporaneamente offline i sistemi delle vittime, mirando al disservizio più che alla sicurezza. «Non si tratta di attacchi particolarmente dannosi, come possono essere quelli ransomware, che vanno a “infettare i sistemi” rimuovendone dati sensibili – spiega il team di Yarix – Queste violazioni, infatti, non compromettono l’integrità delle informazioni, piuttosto creano un’interruzione di servizio arrecando un danno all’utente finale e di immagine all’ente attaccato, rendendo indisponibili temporaneamente i servizi offerti dai siti web colpiti».

Mirko Gatto, CEO Yarix

Leggi anche: Cybercrime: cosa sono i wiper, perché bisogna starci attenti e cosa c’entrano con la guerra in Ucraina

Minaccia hacker dietro l’angolo

Il gruppo di hacker filorusso non sarebbe nuovo agli occhi degli analisti. «Dal marzo 2022, NoName057(16) ha condotto massicci attacchi Distributed-Denial of Service (DDoS) principalmente contro enti governativi europei e infrastrutture critiche – riferiscono dal team di Yarix – L’attore della minaccia sembra collaborare con altri collettivi informatici pro-Russia, come Killnet e XakNet, che già in passato avevano attaccato l’Italia prendendo di mira la stampa italiana».

Il team di Cyber Threat Intelligence di Yarix (YCTI) ha seguito e monitorato le attività del cyber-collettivo dalla sua fondazione, proprio a inizio marzo dello scorso anno. Dai risultati e dalle prove raccolte, NoName057(16) è un attore di lingua russa, le cui azioni sono guidate da motivi ideologici e politici riconducibili a Neo-Eurasiatismo, idee anti-occidentali e sostegno alla Federazione Russa nel conflitto in corso contro l’Ucraina. Il collettivo ha anche creato un suo sottogruppo in cui alcuni dei suoi membri comunicano sugli aspetti tecnici relativi alle campagne DDoS e un altro in cui fornisce istruzioni su come utilizzare uno strumento personalizzato, denominato “DDosia”, per condurre attacchi proprio di questo tipo. E starebbero già studiando le prossime mosse. Di mira ci sarebbero sempre siti istituzionali come quelli appena attaccati. Secondo Yarix, NoName057(16) avrebbe anche partecipato assieme a Killnet alla diffusione di un post di call-to-action ufficiale contro alcuni mass media della rete italiana lo scorso maggio.