Passa ai contenuti principali

Arresti contro Noname057(16), ma la guerra cyber non si ferma (Operazione Eastwood)

L’operazione internazionale contro il gruppo filorusso Noname057(16), annunciata ieri, segna un passaggio importante nella storia recente della cyber-sicurezza europea. Si parla di cinque mandati d’arresto, centinaia di server smantellati, coordinamento tra Europol, Eurojust e diverse forze di polizia europee. Un evento che, per chi lavora in sicurezza informatica, non rappresenta solo una notizia da condividere, ma un’occasione per fermarsi a riflettere su come stiamo evolvendo come società digitale e come Paese.

Il gruppo Noname057(16) non è nuovo alle cronache italiane. Attivo da almeno tre anni, ha costruito la sua reputazione attorno ad attacchi DDoS coordinati su larga scala, rivolti contro enti pubblici, aeroporti, porti, banche, media e infrastrutture critiche. La loro logica è semplice nella forma ma insidiosa nella sostanza: bloccare temporaneamente i servizi, provocare disagio, colpire l’immagine di efficienza e sicurezza di uno Stato. L'Italia è stata bersaglio privilegiato proprio perché considerata uno dei Paesi europei più esposti nel supporto politico e militare all’Ucraina. Per molti di noi questa non è un’ipotesi da dibattito accademico, ma un dato di fatto osservato giorno dopo giorno nei report, nei log dei firewall, nei picchi anomali di traffico sui sistemi monitorati.

Nel caso di Noname, la modalità operativa si è sempre basata sulla creazione di infrastrutture ibride. Da un lato, server C&C localizzati principalmente in Russia o in Paesi limitrofi con scarso controllo internazionale. Dall’altro, una rete di volontari reclutati via Telegram che eseguono software DDoS open source distribuito dal gruppo stesso. In cambio, a volte, ricevono piccole somme in criptovalute. Il cosiddetto progetto DDosia, per esempio, è stato uno degli strumenti più usati per ingaggiare questa “cyber milizia distribuita”. Un modello simile a quello di Killnet ma con un’organizzazione più strutturata e meno caotica. Mentre in Killnet spesso regna l’anarchia del cyber-vandalo, in Noname c’è una gestione gerarchica, con capi, regole, gestione dei target, comunicati ufficiali e una precisa scelta politica.

In Italia abbiamo osservato un pattern che si ripete con coerenza inquietante. Ogni volta che il governo o il Presidente della Repubblica fanno dichiarazioni pubbliche contro la Russia o a favore dell’Ucraina, passano poche ore e scatta un’ondata di attacchi DDoS. Non si tratta solo di siti istituzionali: aeroporti, porti, banche, siti dei giornali, ministeri, perfino i portali delle forze dell’ordine. Nessun furto di dati, almeno in apparenza, ma un attacco all’immagine e alla resilienza. La vulnerabilità non è tanto tecnica quanto psicologica. Il messaggio che vogliono trasmettere è: "Vi possiamo colpire quando vogliamo. Non siete al sicuro." E quando un cittadino legge sui giornali che il sito del proprio Comune è irraggiungibile o che il portale per i pagamenti digitali non funziona, spesso non distingue tra un DDoS temporaneo e un attacco più grave. La sfiducia cresce, e questa è la vera vittoria per chi pratica la guerra ibrida.

L’operazione Eastwood, come è stata battezzata, ha avuto un pregio raro: è riuscita a colpire l’infrastruttura tecnica di un gruppo che fino ad oggi si era mosso con agilità nel gray zone del cyber spazio. Non è semplice, perché parliamo di server sparsi in diversi Paesi, in parte noleggiati con documenti falsi, spesso ospitati su VPS in cloud provider compiacenti o ignari. La collaborazione tra forze di polizia europee e americane, con la partecipazione anche di Svizzera e Svezia, ha permesso di spezzare questa catena in più punti, arrestando membri chiave e sequestrando macchine virtuali, wallet crypto, canali di comunicazione. Ma questo non significa che la minaccia sia finita.

Il cyber-crime filorusso si alimenta di ideologia, ma anche di soldi e di consenso. Non basta fermare i singoli gruppi: bisogna lavorare su una difesa distribuita, su sistemi più resilienti e su una consapevolezza culturale più ampia. Purtroppo in Italia la sicurezza informatica resta un tema per addetti ai lavori, mentre dovrebbe diventare parte del discorso pubblico quotidiano, al pari della sicurezza fisica. Non c’è differenza tra proteggere un aeroporto con le telecamere e proteggerlo con un firewall anti-DDoS, se l’obiettivo è lo stesso: garantire continuità e sicurezza al cittadino.

Quando vediamo questi attacchi, è facile pensare che siano problemi che riguardano solo le istituzioni o le grandi aziende. Ma ogni piccola organizzazione pubblica, ogni Comune, ogni ente locale ha un sito web, un sistema di pagamento, un protocollo informatico. E quasi sempre questi sistemi non sono pronti a gestire nemmeno un DDoS di media entità. La differenza tra un server che resiste e uno che va giù in due minuti sta spesso nella pianificazione preventiva: CDN, protezioni in cloud, firewall aggiornati, test di carico, personale formato. Tutte cose che costano, certo, ma che costano meno del danno reputazionale che si subisce dopo.

Personalmente ho sempre trovato affascinante il modo in cui il cyberspazio diventa il riflesso della geopolitica. Gli attacchi di Noname non sono solo un fatto tecnico, ma un segnale politico, un termometro dei rapporti tra Italia e Russia. L’Italia è vista come un avversario perché ha scelto una posizione netta nel conflitto ucraino. La cyber-offensiva è diventata la nuova forma di ritorsione, meno visibile di un attacco militare ma altrettanto efficace nel destabilizzare. Lo vediamo con gli attacchi DDoS, ma anche con le campagne di disinformazione, i deepfake, le operazioni di manipolazione sui social. È un ecosistema di minaccia complesso, dove chi fa sicurezza deve conoscere non solo i firewall ma anche i contesti geopolitici, le dinamiche internazionali, le tecniche OSINT e la psicologia della paura.

Oggi festeggiamo un risultato importante, ma non possiamo permetterci di abbassare la guardia. La minaccia proseguirà con altri nomi, altri strumenti, altre sigle. Dovremo essere pronti, e soprattutto dovremo iniziare a raccontare queste storie al di fuori delle nicchie specialistiche. Perché la sicurezza informatica non è più una questione per tecnici, è una responsabilità collettiva.

Se non la raccontiamo noi, continueranno a raccontarla gli aggressori.
Tag:

Commenti

Posta un commento

Popolari

Cisco ASA sotto attacco, due zero-day sfruttati per prendere il controllo dei firewall e impiantare malware persistente

Negli ultimi giorni è uscita una notizia che vale la pena leggere con attenzione: sono stati sfruttati in attacco dei “zero-day” contro i firewall Cisco della famiglia Adaptive Security Appliance (ASA) e prodotti correlati, e diversi avvisi ufficiali invitano a intervenire subito. La storia è stata riportata da più testate tecniche e da Cisco stessa, che ha pubblicato patch e dettagli sulle falle coinvolte. Cosa è successo, in parole semplici? Alcuni bug nel servizio web/VPN dei dispositivi ASA permettono a un attaccante — inviando richieste appositamente costruite — di superare i controlli e far girare codice sul dispositivo. In pratica, chi sfrutta questi bug può eseguire comandi come se fosse l’amministratore del firewall. Cisco ha identificato più CVE coinvolte e ha confermato che almeno due di queste (quelle catalogate come sfruttate “in the wild”) sono state usate dagli aggressori prima che le correzioni fossero pubblicate. La cosa che preoccupa di più non è solo il controllo tem...
Posta un commento
Continua a leggere »

Microsoft revoca l’accesso del suo cloud all’intelligence israeliana

Microsoft ha annunciato di aver cessato e disabilitato una serie di servizi cloud e di intelligenza artificiale per un’unità del Ministero della Difesa israeliano (IMOD), dopo aver accertato che tali tecnologie erano state impiegate per sostenere un sistema di sorveglianza di massa sui civili palestinesi.  L’azione dell’azienda è stata attivata in risposta a un’inchiesta giornalistica coordinata dal Guardian, +972 Magazine e Local Call, che ha rivelato come l’Unità 8200 dell’intelligence israeliana avesse archiviato e analizzato milioni di telefonate intercettate tramite la piattaforma Azure, con il fine di monitorare gli spostamenti e guidare operazioni militari nella Striscia di Gaza e in Cisgiordania.  Nel comunicato interno rivolto ai dipendenti, il vicepresidente Brad Smith ha dichiarato che Microsoft non fornisce tecnologie che facilitino la sorveglianza di massa dei civili e che, dopo un’analisi interna, sono emersi elementi che violavano i termini di servizio dell’azie...
Posta un commento
Continua a leggere »

Oyster e il malvertising, fake installer di Microsoft Teams diffonde una backdoor

Negli ultimi giorni è emersa una nuova ondata di malvertising e SEO poisoning che punta a intercettare chi cerca il client Microsoft Teams sui motori di ricerca, reindirizzando gli utenti verso annunci o pagine di download fasulle che offrono un installatore contraffatto invece dell’app ufficiale. Secondo le prime segnalazioni, il file distribuito in queste pagine malevole è un installer camuffato che installa la backdoor nota come Oyster (anche indicata in passato come Broomstick/CleanUpLoader), dando agli aggressori un punto d’accesso remoto sui sistemi compromessi. A confermare la dinamica sono multiple realtà che monitorano la minaccia: Blackpoint SOC ha descritto la campagna come basata su SEO poisoning e annunci malvertising che spingono download ingannevoli, mentre analisti di settore e vendor hanno trovato varianti del loader ospitate su domini compromessi o su pagine generate appositamente per mimare download legittimi. Il malware viene spesso confezionato in installer Windows...
Posta un commento
Continua a leggere »