Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il gruppo di Hacktivisti chiamati NoName057, sono saliti alla cyber cronaca recentemente e li abbiamo visti ultimamente sferrare degli attacchi informatici contro infrastrutture statali italiane. Nello specifico parliamo degli attacchi ai siti del ministero della difesa avvenuto recentemente e contro il Ministero dell’agricoltura italiano.
I ricercatori di sicurezza informatica di Avast, hanno monitorato l’attività di un gruppo di hacker filo-russo chiamato NoName057(16), dal 1° giugno 2022. Il gruppo reagisce all’evoluzione delle situazioni politiche, prendendo di mira aziende e istituzioni filoucraine in Ucraina e nei paesi limitrofi, come Estonia, Lituania, Norvegia e Polonia.
Secondo la ricerca di Avast, il gruppo ha una percentuale di successo del 40% e le aziende con un’infrastruttura ben protetta possono resistere ai loro tentativi di attacco. La ricerca ha anche scoperto che il 20% dei successi dichiarati dal gruppo potrebbe non essere opera loro.
NoName057(16) effettua esclusivamente attacchi DDoS.
All’inizio di giugno, il gruppo ha preso di mira i server di notizie ucraini. Quindi, si sono concentrati sui siti Web all’interno dell’Ucraina appartenenti a città, governi locali, società di servizi pubblici, produttori di armamenti, società di trasporti e uffici postali.
A metà giugno, gli attacchi sono diventati più politicamente motivati.
Gli Stati baltici (Lituania, Lettonia ed Estonia) sono stati presi di mira in modo significativo. A seguito del divieto di transito di merci soggette a sanzioni dell’UE attraverso il loro territorio verso Kaliningrad, il gruppo ha preso di mira le società di trasporto lituane, le ferrovie locali e le società di trasporto su autobus.
Il 1 luglio 2022, il trasporto di merci destinate a raggiungere i minatori impiegati dalla società di estrazione del carbone di proprietà del governo russo, Arktikugol, è stato interrotto dalle autorità norvegesi.
In risposta, il gruppo ha reagito attaccando le compagnie di trasporto norvegesi (Kystverket, Helitrans, Boreal), il servizio postale norvegese (Posten) e le istituzioni finanziarie norvegesi (Sbanken, Gjensidige).
NoName057(16) si vanta attivamente dei suoi attacchi DDoS di successo ai suoi oltre 14.000 follower su Telegram. Il loro canale è stato creato l’11 marzo 2022. Il gruppo segnala solo attacchi DDoS riusciti.
“Sebbene il numero di attacchi riusciti riportato dal gruppo sembri elevato, le informazioni statistiche indicano il contrario”
spiega Martin Chlumecky, ricercatore di malware presso Avast.
“Il tasso di successo del gruppo è del 40%. Abbiamo confrontato l’elenco degli obiettivi che il server C&C invia ai bot Bobik con ciò che il gruppo pubblica sul proprio canale Telegram. I siti Web ospitati su server ben protetti possono resistere agli attacchi. Circa il 20% degli attacchi di cui il gruppo afferma di essere responsabile non corrispondeva agli obiettivi elencati nei loro file di configurazione.”
Il gruppo controlla PC non protetti in tutto il mondo infettati da malware chiamato Bobik, che agiscono come bot.
Bobik è emerso per la prima volta nel 2020 ed è stato utilizzato in passato come strumento di accesso remoto. Il malware è distribuito da un dropper, il famoso Redline Stealer, che è una botnet-as-a-service che i criminali informatici pagano per diffondere il loro malware preferito .
Il gruppo invia comandi ai suoi bot tramite un server C&C situato in Romania. In precedenza, il gruppo aveva due server aggiuntivi in Romania e Russia, ma questi non sono più attivi. I bot ricevono elenchi di obiettivi per DDoS, sotto forma di file di configurazione XML, che vengono aggiornati tre volte al giorno. Tentano di sovraccaricare le pagine di accesso, i siti di recupero password e le ricerche sui siti.
Gli attacchi durano da poche ore a pochi giorni.
Gli attacchi di maggior successo del gruppo lasciano i siti inattivi per diverse ore o alcuni giorni. Per gestire gli attacchi, gli operatori di siti più piccoli e locali ricorrono spesso al blocco delle query provenienti dall’esterno del proprio paese. In casi estremi, alcuni proprietari di siti presi di mira dal gruppo hanno annullato la registrazione dei propri domini.
“La potenza degli attacchi DDoS eseguiti da NoName057(16) è a dir poco discutibile. Possono colpire efficacemente circa tredici indirizzi URL contemporaneamente, a giudicare dalla cronologia delle configurazioni, inclusi i sottodomini”, continua Martin Chlumecky. “Inoltre, una configurazione XML include spesso un dominio definito come un insieme di sottodomini, quindi Bobik attacca efficacemente cinque diversi domini all’interno di una configurazione. Di conseguenza, non possono concentrarsi su più domini per motivi di capacità ed efficienza”.
Gli attacchi DDoS effettuati sono stati più difficili da gestire per alcuni operatori di siti di domini importanti e significativi, come banche, governi e società internazionali. Dopo un attacco riuscito, i ricercatori di Avast hanno notato aziende più grandi che implementano soluzioni aziendali, come Cloudflare o BitNinja, che possono filtrare il traffico in entrata e rilevare gli attacchi DDoS nella maggior parte dei casi.
D’altra parte, la maggior parte delle grandi aziende internazionali si aspetta un traffico più intenso ed esegue i propri server Web nel cloud con soluzioni anti-DDoS, rendendoli più resistenti agli attacchi. Ad esempio, il gruppo non è riuscito a smantellare siti appartenenti alla banca danese Danske Bank (attaccata dal 19 al 21 giugno 2022) e alla banca lituana SEB (attaccata dal 12 al 13 luglio 2022 e dal 20 al 21 luglio 2022).
Gli attacchi di maggior successo di NoName057(16) hanno colpito le aziende con siti semplici e informativi. I server di siti come questi non sono in genere progettati per essere caricati pesantemente e spesso non implementano tecniche anti-DDoS, rendendoli un facile bersaglio.
