Redazione RHC : 24 Dicembre 2022 08:49
Il gruppo di Hacktivisti chiamati NoName057, sono saliti alla cyber cronaca recentemente e li abbiamo visti ultimamente sferrare degli attacchi informatici contro infrastrutture statali italiane. Nello specifico parliamo degli attacchi ai siti del ministero della difesa avvenuto recentemente e contro il Ministero dell’agricoltura italiano.
I ricercatori di sicurezza informatica di Avast, hanno monitorato l’attività di un gruppo di hacker filo-russo chiamato NoName057(16), dal 1° giugno 2022. Il gruppo reagisce all’evoluzione delle situazioni politiche, prendendo di mira aziende e istituzioni filoucraine in Ucraina e nei paesi limitrofi, come Estonia, Lituania, Norvegia e Polonia.
Secondo la ricerca di Avast, il gruppo ha una percentuale di successo del 40% e le aziende con un’infrastruttura ben protetta possono resistere ai loro tentativi di attacco. La ricerca ha anche scoperto che il 20% dei successi dichiarati dal gruppo potrebbe non essere opera loro.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
NoName057(16) effettua esclusivamente attacchi DDoS.
All’inizio di giugno, il gruppo ha preso di mira i server di notizie ucraini. Quindi, si sono concentrati sui siti Web all’interno dell’Ucraina appartenenti a città, governi locali, società di servizi pubblici, produttori di armamenti, società di trasporti e uffici postali.
A metà giugno, gli attacchi sono diventati più politicamente motivati.
Gli Stati baltici (Lituania, Lettonia ed Estonia) sono stati presi di mira in modo significativo. A seguito del divieto di transito di merci soggette a sanzioni dell’UE attraverso il loro territorio verso Kaliningrad, il gruppo ha preso di mira le società di trasporto lituane, le ferrovie locali e le società di trasporto su autobus.
Il 1 luglio 2022, il trasporto di merci destinate a raggiungere i minatori impiegati dalla società di estrazione del carbone di proprietà del governo russo, Arktikugol, è stato interrotto dalle autorità norvegesi.
In risposta, il gruppo ha reagito attaccando le compagnie di trasporto norvegesi (Kystverket, Helitrans, Boreal), il servizio postale norvegese (Posten) e le istituzioni finanziarie norvegesi (Sbanken, Gjensidige).
NoName057(16) si vanta attivamente dei suoi attacchi DDoS di successo ai suoi oltre 14.000 follower su Telegram. Il loro canale è stato creato l’11 marzo 2022. Il gruppo segnala solo attacchi DDoS riusciti.
“Sebbene il numero di attacchi riusciti riportato dal gruppo sembri elevato, le informazioni statistiche indicano il contrario”
spiega Martin Chlumecky, ricercatore di malware presso Avast.
“Il tasso di successo del gruppo è del 40%. Abbiamo confrontato l’elenco degli obiettivi che il server C&C invia ai bot Bobik con ciò che il gruppo pubblica sul proprio canale Telegram. I siti Web ospitati su server ben protetti possono resistere agli attacchi. Circa il 20% degli attacchi di cui il gruppo afferma di essere responsabile non corrispondeva agli obiettivi elencati nei loro file di configurazione.”
Il gruppo controlla PC non protetti in tutto il mondo infettati da malware chiamato Bobik, che agiscono come bot.
Bobik è emerso per la prima volta nel 2020 ed è stato utilizzato in passato come strumento di accesso remoto. Il malware è distribuito da un dropper, il famoso Redline Stealer, che è una botnet-as-a-service che i criminali informatici pagano per diffondere il loro malware preferito .
Il gruppo invia comandi ai suoi bot tramite un server C&C situato in Romania. In precedenza, il gruppo aveva due server aggiuntivi in Romania e Russia, ma questi non sono più attivi. I bot ricevono elenchi di obiettivi per DDoS, sotto forma di file di configurazione XML, che vengono aggiornati tre volte al giorno. Tentano di sovraccaricare le pagine di accesso, i siti di recupero password e le ricerche sui siti.
Gli attacchi durano da poche ore a pochi giorni.
Gli attacchi di maggior successo del gruppo lasciano i siti inattivi per diverse ore o alcuni giorni. Per gestire gli attacchi, gli operatori di siti più piccoli e locali ricorrono spesso al blocco delle query provenienti dall’esterno del proprio paese. In casi estremi, alcuni proprietari di siti presi di mira dal gruppo hanno annullato la registrazione dei propri domini.
“La potenza degli attacchi DDoS eseguiti da NoName057(16) è a dir poco discutibile. Possono colpire efficacemente circa tredici indirizzi URL contemporaneamente, a giudicare dalla cronologia delle configurazioni, inclusi i sottodomini”, continua Martin Chlumecky. “Inoltre, una configurazione XML include spesso un dominio definito come un insieme di sottodomini, quindi Bobik attacca efficacemente cinque diversi domini all’interno di una configurazione. Di conseguenza, non possono concentrarsi su più domini per motivi di capacità ed efficienza”.
Gli attacchi DDoS effettuati sono stati più difficili da gestire per alcuni operatori di siti di domini importanti e significativi, come banche, governi e società internazionali. Dopo un attacco riuscito, i ricercatori di Avast hanno notato aziende più grandi che implementano soluzioni aziendali, come Cloudflare o BitNinja, che possono filtrare il traffico in entrata e rilevare gli attacchi DDoS nella maggior parte dei casi.
D’altra parte, la maggior parte delle grandi aziende internazionali si aspetta un traffico più intenso ed esegue i propri server Web nel cloud con soluzioni anti-DDoS, rendendoli più resistenti agli attacchi. Ad esempio, il gruppo non è riuscito a smantellare siti appartenenti alla banca danese Danske Bank (attaccata dal 19 al 21 giugno 2022) e alla banca lituana SEB (attaccata dal 12 al 13 luglio 2022 e dal 20 al 21 luglio 2022).
Gli attacchi di maggior successo di NoName057(16) hanno colpito le aziende con siti semplici e informativi. I server di siti come questi non sono in genere progettati per essere caricati pesantemente e spesso non implementano tecniche anti-DDoS, rendendoli un facile bersaglio.
RedazioneIn un mondo in cui la musica è da tempo migrata verso lo streaming e le piattaforme digitali, un appassionato ha deciso di tornare indietro di sei decenni, a un’epoca in cui le melodie potevano anc...
La frase “Costruiremo sicuramente un bunker prima di lanciare l’AGI” dal quale prende spunto l’articolo, è stata attribuita a uno dei leader della Silicon Valley, anche se non è chiaro a chi...
Negli Stati Uniti, una vasta campagna coordinata tramite botnet sta prendendo di mira i servizi basati sul protocollo Remote Desktop Protocol (RDP). Un pericolo notevole è rappresentato dalla scala e...
Un’ondata di messaggi di phishing sta colpendo in questi giorni numerosi cittadini lombardi. Le email, apparentemente inviate da una società di recupero crediti, fanno riferimento a presunti mancat...
La scorsa settimana, Oracle ha avvisato i clienti di una vulnerabilità zero-day critica nella sua E-Business Suite (CVE-2025-61882), che consente l’esecuzione remota di codice arbitrario senza aute...
