Passa ai contenuti principali

Arresti contro Noname057(16), ma la guerra cyber non si ferma (Operazione Eastwood)

L’operazione internazionale contro il gruppo filorusso Noname057(16), annunciata ieri, segna un passaggio importante nella storia recente della cyber-sicurezza europea. Si parla di cinque mandati d’arresto, centinaia di server smantellati, coordinamento tra Europol, Eurojust e diverse forze di polizia europee. Un evento che, per chi lavora in sicurezza informatica, non rappresenta solo una notizia da condividere, ma un’occasione per fermarsi a riflettere su come stiamo evolvendo come società digitale e come Paese.

Il gruppo Noname057(16) non è nuovo alle cronache italiane. Attivo da almeno tre anni, ha costruito la sua reputazione attorno ad attacchi DDoS coordinati su larga scala, rivolti contro enti pubblici, aeroporti, porti, banche, media e infrastrutture critiche. La loro logica è semplice nella forma ma insidiosa nella sostanza: bloccare temporaneamente i servizi, provocare disagio, colpire l’immagine di efficienza e sicurezza di uno Stato. L'Italia è stata bersaglio privilegiato proprio perché considerata uno dei Paesi europei più esposti nel supporto politico e militare all’Ucraina. Per molti di noi questa non è un’ipotesi da dibattito accademico, ma un dato di fatto osservato giorno dopo giorno nei report, nei log dei firewall, nei picchi anomali di traffico sui sistemi monitorati.

Nel caso di Noname, la modalità operativa si è sempre basata sulla creazione di infrastrutture ibride. Da un lato, server C&C localizzati principalmente in Russia o in Paesi limitrofi con scarso controllo internazionale. Dall’altro, una rete di volontari reclutati via Telegram che eseguono software DDoS open source distribuito dal gruppo stesso. In cambio, a volte, ricevono piccole somme in criptovalute. Il cosiddetto progetto DDosia, per esempio, è stato uno degli strumenti più usati per ingaggiare questa “cyber milizia distribuita”. Un modello simile a quello di Killnet ma con un’organizzazione più strutturata e meno caotica. Mentre in Killnet spesso regna l’anarchia del cyber-vandalo, in Noname c’è una gestione gerarchica, con capi, regole, gestione dei target, comunicati ufficiali e una precisa scelta politica.

In Italia abbiamo osservato un pattern che si ripete con coerenza inquietante. Ogni volta che il governo o il Presidente della Repubblica fanno dichiarazioni pubbliche contro la Russia o a favore dell’Ucraina, passano poche ore e scatta un’ondata di attacchi DDoS. Non si tratta solo di siti istituzionali: aeroporti, porti, banche, siti dei giornali, ministeri, perfino i portali delle forze dell’ordine. Nessun furto di dati, almeno in apparenza, ma un attacco all’immagine e alla resilienza. La vulnerabilità non è tanto tecnica quanto psicologica. Il messaggio che vogliono trasmettere è: "Vi possiamo colpire quando vogliamo. Non siete al sicuro." E quando un cittadino legge sui giornali che il sito del proprio Comune è irraggiungibile o che il portale per i pagamenti digitali non funziona, spesso non distingue tra un DDoS temporaneo e un attacco più grave. La sfiducia cresce, e questa è la vera vittoria per chi pratica la guerra ibrida.

L’operazione Eastwood, come è stata battezzata, ha avuto un pregio raro: è riuscita a colpire l’infrastruttura tecnica di un gruppo che fino ad oggi si era mosso con agilità nel gray zone del cyber spazio. Non è semplice, perché parliamo di server sparsi in diversi Paesi, in parte noleggiati con documenti falsi, spesso ospitati su VPS in cloud provider compiacenti o ignari. La collaborazione tra forze di polizia europee e americane, con la partecipazione anche di Svizzera e Svezia, ha permesso di spezzare questa catena in più punti, arrestando membri chiave e sequestrando macchine virtuali, wallet crypto, canali di comunicazione. Ma questo non significa che la minaccia sia finita.

Il cyber-crime filorusso si alimenta di ideologia, ma anche di soldi e di consenso. Non basta fermare i singoli gruppi: bisogna lavorare su una difesa distribuita, su sistemi più resilienti e su una consapevolezza culturale più ampia. Purtroppo in Italia la sicurezza informatica resta un tema per addetti ai lavori, mentre dovrebbe diventare parte del discorso pubblico quotidiano, al pari della sicurezza fisica. Non c’è differenza tra proteggere un aeroporto con le telecamere e proteggerlo con un firewall anti-DDoS, se l’obiettivo è lo stesso: garantire continuità e sicurezza al cittadino.

Quando vediamo questi attacchi, è facile pensare che siano problemi che riguardano solo le istituzioni o le grandi aziende. Ma ogni piccola organizzazione pubblica, ogni Comune, ogni ente locale ha un sito web, un sistema di pagamento, un protocollo informatico. E quasi sempre questi sistemi non sono pronti a gestire nemmeno un DDoS di media entità. La differenza tra un server che resiste e uno che va giù in due minuti sta spesso nella pianificazione preventiva: CDN, protezioni in cloud, firewall aggiornati, test di carico, personale formato. Tutte cose che costano, certo, ma che costano meno del danno reputazionale che si subisce dopo.

Personalmente ho sempre trovato affascinante il modo in cui il cyberspazio diventa il riflesso della geopolitica. Gli attacchi di Noname non sono solo un fatto tecnico, ma un segnale politico, un termometro dei rapporti tra Italia e Russia. L’Italia è vista come un avversario perché ha scelto una posizione netta nel conflitto ucraino. La cyber-offensiva è diventata la nuova forma di ritorsione, meno visibile di un attacco militare ma altrettanto efficace nel destabilizzare. Lo vediamo con gli attacchi DDoS, ma anche con le campagne di disinformazione, i deepfake, le operazioni di manipolazione sui social. È un ecosistema di minaccia complesso, dove chi fa sicurezza deve conoscere non solo i firewall ma anche i contesti geopolitici, le dinamiche internazionali, le tecniche OSINT e la psicologia della paura.

Oggi festeggiamo un risultato importante, ma non possiamo permetterci di abbassare la guardia. La minaccia proseguirà con altri nomi, altri strumenti, altre sigle. Dovremo essere pronti, e soprattutto dovremo iniziare a raccontare queste storie al di fuori delle nicchie specialistiche. Perché la sicurezza informatica non è più una questione per tecnici, è una responsabilità collettiva.

Se non la raccontiamo noi, continueranno a raccontarla gli aggressori.
Tag:

Commenti

Posta un commento

Popolari

WinRAR sotto attacco, zero-day critica sfruttata da hacker russi

Il 10 agosto 2025 è stata resa pubblica la vulnerabilità CVE-2025-8088 di WinRAR, una falla di tipo directory traversal già sfruttata in attacchi mirati da RomCom, gruppo hacker legato alla Russia e noto per operazioni di cyber-spionaggio ed estorsione. Il problema risiede nella gestione dei percorsi all’interno di archivi compressi: un file RAR malevolo può includere riferimenti a directory specifiche del sistema, forzando WinRAR a estrarre file in percorsi diversi da quelli scelti dall’utente. In particolare, è possibile copiare eseguibili nelle cartelle di avvio automatico di Windows, come %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup o %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp. Alla successiva accensione del PC, il malware viene avviato in automatico, ottenendo così persistenza sul sistema e potenzialmente consentendo il controllo remoto. Gli attacchi osservati sono stati condotti tramite campagne di spear-phishing: le vittime ricevevano email contenenti...
Posta un commento
Continua a leggere »

Nuovo attacco agli ambienti ibridi Microsoft, l’allarme lanciato a Black Hat. Active Directory ed Entra ID sotto esame, la tecnica che sfida MFA e controlli tradizionali

A Black Hat USA 2025 è stata mostrata una lezione dura ma utile per chiunque gestisca identità e mail aziendali: un ricercatore ha dimostrato come, in certi ambienti ibridi che sincronizzano Active Directory locale con Microsoft Entra ID (ex Azure AD), un account cloud apparentemente a bassa priorità possa essere trasformato in un account “ibrido” con privilegi amministrativi, senza passare dalle normali barriere di autenticazione e senza far scattare gli allarmi tradizionali. La dimostrazione — presentata da Dirk-jan Mollema di Outsider Security — ha messo in luce vettori di abuso legati al server di sincronizzazione (Entra Connect), alle modalità di corrispondenza degli account tra on-prem e cloud (soft matching) e a token/claim usati nei meccanismi di delega e in Exchange ibrido. Per chi non mastica quotidianamente questi termini: molte aziende hanno ancora un Active Directory “dentro l’azienda” per utenti e servizi, e allo stesso tempo usano servizi cloud come Microsoft 365. Per fa...
Posta un commento
Continua a leggere »

Italia, via libera al contrattacco cyber. Il nostro Paese ora può rispondere colpo su colpo

Immagina una stanza blindata, luci basse, grafici e mappe digitali proiettati sulle pareti: in mezzo al tavolo, una decisione da prendere in pochi minuti. È lo scenario che la nuova norma italiana rende possibile, dando al Presidente del Consiglio il potere di autorizzare, dopo consultazione con CISR e Copasir, un contrattacco cibernetico vero e proprio. Non parliamo di alzare firewall o bloccare un IP, ma di operazioni offensive su scala statale, condotte da AISE e AISI, con il coordinamento del DIS e il supporto del Ministero della Difesa. Il quadro è stato reso operativo con il Decreto Sicurezza (DL 48/2025, legge dal 9 giugno), che ha messo nero su bianco procedure, ruoli e condizioni. La norma prevede tre requisiti fondamentali: il bersaglio dev’essere identificabile con alto grado di certezza (ad esempio un gruppo APT o un’infrastruttura C2 specifica), le difese convenzionali devono essersi dimostrate inefficaci e la minaccia deve riguardare la sicurezza nazionale o quella di un...
Posta un commento
Continua a leggere »