Anonymous Italia Vs NoName057(16): La guerra Hacktivista a colpi di DDoS e Deface

Negli ultimi mesi, il panorama dell’hacktivismo cibernetico ha visto un’intensificazione degli scontri tra gruppi di hacktivisti con orientamenti geopolitici opposti. In particolare, Anonymous Italia e il collettivo filorusso NoName057(16) si sono impegnati in una serie di attacchi informatici reciproci, utilizzando tecniche diverse per colpire i rispettivi obiettivi.

Defacement vs DDoS: Due Tecniche a Confronto

Nel panorama dell’hacktivismo cibernetico, le tecniche di attacco utilizzate dai gruppi hacker variano in base agli obiettivi e alle strategie adottate. Due delle metodologie più diffuse sono il defacement e gli attacchi Distributed Denial-of-Service (DDoS), strumenti con finalità differenti ma entrambi capaci di generare impatti significativi sulle infrastrutture digitali. Mentre il defacement mira a modificare il contenuto di un sito web per trasmettere un messaggio politico o ideologico, il DDoS ha lo scopo di sovraccaricare un servizio online fino a renderlo inaccessibile.

Negli scontri tra Anonymous Italia e NoName057(16), queste due tecniche sono state ampiamente utilizzate per colpire obiettivi avversari. Anonymous Italia ha preferito il defacement, alterando siti russi per diffondere contenuti contrari alla propaganda del Cremlino. Dall’altra parte, NoName057(16), noto per il suo orientamento filorusso, ha adottato il DDoS per colpire siti governativi e infrastrutture critiche italiane, causando disservizi temporanei. Questa contrapposizione tecnologica non è solo una questione tecnica, ma riflette anche le divergenze ideologiche tra i due schieramenti

Defacement

Il defacement è una tecnica di attacco informatico in cui un aggressore modifica il contenuto di un sito web senza autorizzazione, sostituendo le pagine originali con messaggi politici, propaganda o semplici segni distintivi della propria attività. Questo tipo di attacco viene spesso utilizzato da gruppi hacktivisti per diffondere messaggi ideologici o da cyber criminali per danneggiare la reputazione di un’organizzazione.

Tuttavia, il defacement non è solo una questione di immagine: per poter alterare il contenuto di un sito, l’attaccante deve prima comprometterne la sicurezza. Questo avviene generalmente attraverso due metodi principali:

1. Accesso con credenziali amministrative rubate o deboli – Gli hacker potrebbero ottenere le credenziali di accesso attraverso phishing, log di infostealer, canali telegram, credenziali predefinite mai cambiate o attacchi di forza bruta. Una volta ottenuto l’accesso, possono alterare le pagine del sito con estrema facilità.
2. Sfruttamento di vulnerabilità del software – Alcuni attacchi di defacement avvengono tramite Remote Code Execution (RCE) o altre vulnerabilità critiche nei CMS (Content Management System) o nei server web. Se il software della piattaforma non è aggiornato o presenta falle di sicurezza, un attaccante può eseguire comandi arbitrari sul sistema e modificare i file del sito.

Violazione della RID: Un Attacco che Compromette l’Intero Sistema

Il defacement non è solo una modifica visiva del sito, ma un segnale d’allarme di una compromissione più profonda. Questo tipo di attacco compromette tutti e tre i pilastri fondamentali della sicurezza informatica, noti come RID (Riservatezza, Integrità e Disponibilità):

• Riservatezza: Se l’attaccante ha ottenuto accesso amministrativo al sito, potrebbe aver esfiltrato dati sensibili presenti nel database, inclusi dati degli utenti, credenziali o informazioni riservate dell’azienda.
• Integrità: Il contenuto originale del sito è stato alterato, il che significa che il sistema non può più essere considerato affidabile fino a quando non viene ripristinato e analizzato a fondo.
• Disponibilità: Un attacco di defacement può anche causare disservizi o impedire l’accesso al sito, specialmente se accompagnato da altre tecniche come il defacement distruttivo, in cui l’attaccante cancella file critici del sistema.

Incident Response: L’Importanza di un’Analisi Approfondita

Quando un sito subisce un defacement, è fondamentale non limitarsi a ripristinare il contenuto originale, ma avviare un’operazione di Incident Response per comprendere l’entità dell’attacco. L’attaccante potrebbe aver effettuato movimenti laterali all’interno della rete, compromettendo altri sistemi collegati. Per questo motivo, dopo un defacement è necessario:

1. Analizzare i log di accesso e gli eventi del server per identificare l’origine dell’intrusione.
2. Verificare la presenza di backdoor o codice malevolo lasciato dall’attaccante per mantenere il controllo del sistema.
3. Controllare eventuali esfiltrazioni di dati, verificando se siano stati scaricati database o informazioni sensibili.
4. Aggiornare e proteggere il sito web, applicando patch di sicurezza e modificando tutte le credenziali di accesso compromesse.

Un attacco di defacement, quindi, non è solo un fastidio estetico, ma una potenziale violazione critica della sicurezza che può avere conseguenze gravi sia in termini di dati rubati che di danni alla reputazione.

Distributed Denial of Service (DDoS)

Un attacco di Distributed Denial of Service (DDoS) è una tecnica informatica molto vecchia, come anche il defacement, che mira a rendere inaccessibile un sito web o un servizio online, sovraccaricandolo con un volume eccessivo di richieste. A differenza del defacement, che compromette tutta la RID di un sistema, il DDoS colpisce esclusivamente la disponibilità del servizio, impedendo agli utenti legittimi di accedervi.

L’obiettivo di questo tipo di attacco è quello di intasare le risorse del server, facendolo collassare sotto il peso delle richieste non lecite. Per comprendere meglio il concetto, si può pensare a un’autostrada: se il traffico è normale, le auto possono circolare senza problemi. Tuttavia, se improvvisamente migliaia di auto si riversano sulla strada nello stesso momento, si crea un ingorgo che blocca la viabilità, impedendo a chiunque di procedere. Un attacco DDoS funziona nello stesso modo: un numero enorme di richieste viene inviato a un sito web, impedendogli di rispondere a quelle legittime.

Come Viene Lanciato un Attacco DDoS?

Esistono diverse modalità con cui un attacco DDoS può essere orchestrato, alcune delle quali facilmente accessibili anche a cybercriminali non esperti grazie alla proliferazione di servizi illeciti sul dark web. Tra i metodi più diffusi troviamo:

• Botnet a pagamento: Esistono strumenti software (chiamati anche booters che simulano la vedita di stress tool), spesso venduti in circuiti underground, che permettono di acquistare una botnet, ovvero una rete di dispositivi compromessi (PC, server, dispositivi IoT), che possono essere controllati da remoto per inondare un sito di traffico malevolo. Con un semplice pagamento in criptovaluta, chiunque può lanciare un attacco DDoS su commissione contro un bersaglio specifico.
• Attacchi DDoS basati sulla community: Alcuni gruppi di hacktivisti, come NoName057(16) con il progetto DDoSia, hanno sviluppato strumenti che permettono agli utenti di unire la potenza dei loro dispositivi per attaccare un obiettivo comune. Un esempio è LOIC (Low Orbit Ion Cannon), un tool che consente di inviare massicce quantità di richieste HTTP a un sito bersaglio. Più utenti partecipano, maggiore è l’impatto dell’attacco.

Le Conseguenze di un DDoS

Un attacco DDoS può avere impatti significativi, specialmente su siti istituzionali, piattaforme di e-commerce o infrastrutture critiche. A seconda della durata e dell’intensità dell’attacco, le conseguenze possono includere:

• Perdita di accesso ai servizi essenziali (ad esempio, un sito governativo o bancario inaccessibile).
• Danni economici per le aziende che si basano su servizi online.
• Compromissione della reputazione, poiché gli utenti percepiscono l’azienda o l’istituzione come incapace di proteggere le proprie infrastrutture.

A differenza di un attacco di defacement, che richiede una compromissione attiva del sito, un DDoS non viola direttamente il server, ma ne sfrutta le risorse fino a esaurirle. Tuttavia, può essere utilizzato come tecnica diversiva per coprire anche altre intrusioni più profonde, come attacchi informatici più sofisticati volti al furto di dati.

Hacktivismo Cibernetico: Motivazioni e Implicazioni

L’hacktivismo cibernetico combina l’attivismo politico con l’hacking informatico, utilizzando attacchi digitali per promuovere cause politiche o sociali. Nel caso di Anonymous Italia e NoName057(16), le loro azioni sono guidate da convinzioni ideologiche opposte, con l’obiettivo di influenzare l’opinione pubblica e danneggiare l’infrastruttura digitale dell’avversario.

Questi attacchi sollevano questioni importanti riguardo alla sicurezza nazionale e alla protezione delle infrastrutture critiche. Le autorità sono chiamate a rafforzare le difese cibernetiche e a sviluppare strategie efficaci per contrastare tali minacce, garantendo la resilienza dei servizi essenziali e la tutela dei dati sensibili.

In conclusione, la “guerra” tra Anonymous Italia e NoName057(16) evidenzia come il cyberspazio sia diventato un nuovo campo di battaglia per conflitti geopolitici e ideologici, dove anche i singoli possono prendere parte utilizzando diverse tecniche di attacco per raggiungere obiettivi strategici e propagandistici.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore