Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora
  • English

Intervista a KillMilk, il fondatore di KillNet di Lenta.ru

AutoreCarlo Maria Di Pietro
Data Pubblicazione: 16/05/2022

Il sito russo «Ленте.ру» lo scorso aprile aveva pubblicato l’articolo «Не надо было угрожать моей стране» – letteralmente «Non avresti dovuto minacciare il mio paese» a firma Артур Галеев.

«Хакеры Killnet защищают Россию, сражаясь с Anonymous и НАТО. Кто за ними стоит?» – Gli hacker di KILLNET proteggono la Russia combattendo Anonymous e la NATO. Chi c’è dietro di loro?

Pochi giorni dopo che gli hacker di Anonymous hanno dichiarato guerra informatica alla Russia, i loro rivali russi si sono riuniti in KILLNET. Gli attivisti di KILLNET hanno esortato il popolo russo a non aver paura di nulla e, come gesto ironico, hanno hackerato – si legge su LENTA.RU – il sito web di Anonymous per dieci giorni.

Advertisements

L’apparizione di KILLNET, che ha deciso di schierarsi dalla parte della Russia, si è rivelata del tutto inaspettata: prima dell’inizio della guerra informatica, difatti, né i media né i blogger hanno mai scritto del gruppo di attivisti.

Il fondatore di KILLNET, noto nel darknet con il soprannome di KILLMILK, ha raccontato a «Ленте.ру» da dove viene il gruppo, di chi è il denaro, se collabora davvero con i servizi segreti russi e perché gli hacker si oppongono alla NATO.

«Мои кумиры — хакеры из REvil и DarkSide» – I miei idoli sono gli hacker di REvil e DarkSide.

Intervista a KillMilk

«Лента.ру»: Molte persone stanno ora cercando di capire l’’essenza stessa di KILLNET, le origini dell’organizzazione e la sua struttura. Ci sono singoli esperti che generalmente ammettono che KILLNET sia nell’orbita dei servizi speciali russi o sia associato a loro.

Advertisements

KILLMILK: KILLNET è apparso originariamente come servizio sul dark web: abbiamo fornito servizi per organizzare attacchi DDoS a tutti, e talvolta no. Dopo qualche tempo, abbiamo deciso di entrare nel mercato con uno strumento multiutente con il quale è possibile stressare i server e quindi testarli. In nessun momento durante l’esistenza del progetto abbiamo ricevuto ordini da servizi speciali e un’idea della cronologia del suo sviluppo può essere ottenuta nel Killnet Telegram.

«Лента.ру»: Le associazioni di hacker raramente rivelano il loro numero. Ma come hacktivist, puoi specificare il numero di partecipanti?

KILLMILK: Al momento, KILLNET include più di 4,5 mila persone – «На данный момент в Killnet входит более 4,5 тысячи человек». In effetti, KILLNET è diventato più un movimento di hacktivist (хактивистским движением) che un’opposizione mirata di hacker. Ma allo stesso tempo, il nucleo del nostro team è diverso dalla massa, abbiamo i nostri obiettivi.

«Лента.ру»: Gli hacker di KILLNET hanno mai fatto parte di altre associazioni di hacker di cui i russi potrebbero sentire parlare? Ad esempio in REvil, DarkSide, BlackMatter, Conti o altri?

Advertisements

KILLMILK: Nemmeno io lo so, perché tutti quelli che vengono in KILLNET sono piacevoli e utili per noi, e chi erano in una vita passata non ci dà fastidio. A proposito, considero ancora gli hacker di REvil e DarkSide i miei idoli.

«Лента.ру»: I gruppi di hacker che compongono KILLNET sono indipendenti l’uno dall’altro e dal centro? O queste divisioni sono sincronizzate tra loro?

KILLMILK: Sono il fondatore di KILLNET e gestisco la botnet con lo stesso nome, così come tutte le azioni di hacktivist ad essa associate. Allo stesso tempo, abbiamo molte suddivisioni, ognuna delle quali sa cosa fare. Ma a volte sono sincronizzate con i colleghi per garantire un ciclo di lavoro continuo.

«Лента.ру»: Esiste un’opinione su Internet secondo cui  KILLNET è stata originariamente creata per sfruttare l’omonima botnet per scopi commerciali. Poi tu, nel tuo canale Telegram, rispondendo proprio alla pubblicazione di «Ленты.ру», hai notato che dall’inizio di aprile non hai progetti commerciali. Ma inizialmente era solo un business?

Advertisements

KILLMILK: Sì, una volta era solo un business. Ma quando siamo giunti all’attenzione dei media occidentali e delle agenzie d’intelligence, i nostri registrar di domini hanno semplicemente iniziato a essere demoliti. KILLNET è stato etichettato come un gruppo di hacker filo-russo, quindi siamo stati accusati di tutti i peccati. Abbiamo anche goduto di tale attenzione per noi. Immagina: registro un nuovo hosting e gli allego DNS, ma letteralmente un minuto dopo il mio nuovo profilo viene semplicemente bloccato per la semplice menzione della parola KILLNET. Abbiamo esaminato circa 40 siti di hosting, tutti senza alcun risultato. Allo stesso tempo, i nostri clienti hanno iniziato a segnalare errori nella botnet. Di conseguenza, abbiamo deciso di sospendere l’uso commerciale della nostra botnet e ci siamo concentrati sull’aiuto nella lotta contro l’Ucraina e i paesi della NATO. Ma non rubiamo soldi nemmeno ai nostri nemici.

«Лента.ру»: La botnet è la base dei tuoi attacchi?

KILLMILK: Abbiamo già circa 20 aree di lavoro, anche se prima si trattava solo di attacchi DDoS e pentesting («DDoS-атакам и пентестингу»), stiamo gradualmente espandendo il nostro arsenale. Ma voglio notare: attacchiamo solo coloro che sono i conduttori del male e dell’aggressione, e non tocchiamo la popolazione civile.

«Лента.ру»: La botnet include solo dispositivi russi o anche stranieri?

Advertisements

KILLMILK: La quota totale dei dispositivi russi non supera il sei percento. Siamo riforniti principalmente con “gadget” stranieri («зарубежными гаджетами»).

«Лента.ру»: Qual è la potenza di attacco massima della tua botnet che è stata in grado di mostrare dall’inizio dell’operazione speciale? Chi è stata la vittima di questo attacco più potente?

KILLMILK: Abbiamo inferto il nostro primo colpo al dominio gov.ua («домену gov.ua»), che ha portato alla caduta di tutti i sottodomini che ospitano i siti web delle strutture governative ucraine, circa 67 risorse hanno smesso di funzionare. La potenza intermedia di questo attacco era di 2,4 Tb/s. Ciò è accaduto dieci ore prima dell’inizio dell’operazione speciale e non abbiamo pubblicizzato questa azione. Possiamo dire che il test ha avuto successo.

«Лента.ру»: Quale obiettivo di attacco ti ha irritato di più?

Advertisements

KILLMILK: Capisco che ti riferisci ad Anonymous. In effetti, rispetto il team di Anonymous, ma non quello attuale, ma quello vecchio, che ha funzionato fino al 2008 circa. Coloro che ora si travestono sotto questo marchio sono bugiardi e mascalzoni. Sai quando ho smesso di prendere sul serio i loro movimenti? Subito dopo la dichiarazione di guerra informatica, Anonymous ha attaccato il sito web di RT. Abbiamo risposto con un flusso HTTP (un sottotipo di attacco DDoS – прим. «Ленты.ру») sulla loro risorsa ufficiale. E in quel momento la gente iniziò a dire che Anonymous non aveva un sito web. Bene, com’è? Quindi hanno un account Twitter, hanno un canale YouTube, hanno anche un intero scambio di criptovalute, ma non c’è una landing page? Ci sono molte prove dell’esistenza di questa risorsa, abbiamo messo in stop il loro server per dieci giorni. Anonymous ha ucciso RT per 24 ore e KILLNET ha ucciso Anonymous per 240 ore. 

«Лента.ру»: Come pensi di riuscire a vincere la guerra con Anonymous?

KILLMILK: Credo che Anonymous sia cancellato dalla storia: si sono aiutati a scomparire con le loro bugie. Li abbiamo appena finiti e privati ​​della loro reputazione. KILLNET non ha rallentato, ma in questo momento siamo privati ​​al 90%. Dacci un anno e il nostro nuovo movimento (KILLNET ha annunciato la creazione di un’alleanza informatica antifascista) diventerà la principale associazione di hacktivisti al mondo. Come mai? Perché non vogliamo la morte di nessuno e allo stesso tempo non balliamo sulla melodia di qualcun altro. Dopotutto, è stato KILLNET che ha contribuito a far nascere lo spirito combattivo del cyberspazio russo, abbiamo prima impostato le direzioni difensive e poi dato l’esempio negli attacchi di ritorsione.

«Лента.ру»: Quali sono gli attacchi KILLNET di maggior successo?

Advertisements

KILLMILK: Se prendiamo gli attacchi di cui abbiamo parlato pubblicamente, allora questo è il suddetto attacco ai siti Web delle strutture statali dell’Ucraina, un attacco alla Banca nazionale polacca e all’aeroporto internazionale Bradley. Tuttavia, ci sono state alcune azioni che non abbiamo annunciato pubblicamente. Tra queste, hack di posta elettronica di molti funzionari di alto rango, dump di database di varie banche, oltre a bloccare i dispositivi di centinaia di americani, ma non allo scopo di ricatto e guadagno, ma per divertimento. Allo stesso tempo, abbiamo visitato solo coloro che hanno costruito il loro capitale sull’inganno di persone credulone.

«Лента.ру»: Come vengono selezionate le vittime per gli attacchi?

KILLMILK: Monitoriamo la situazione intorno alla Russia 24 ore su 24 … Se c’è una chiara minaccia o insulto e allo stesso tempo capiamo che abbiamo qualcosa a cui rispondere, i nostri ragazzi iniziano la scansione della rete di un potenziale nemico. Questo può essere seguito non solo da un attacco DDoS, ma anche da altri meccanismi che possono danneggiare l’infrastruttura di rete della vittima.

«Лента.ру»: Chi finanzia attacchi così massicci?

Advertisements

KILLMILK: Siamo finanziati da appassionati e patrioti del loro paese. Queste persone non hanno nulla a che fare con le autorità.

«Лента.ру»: A che punto hai deciso di unirti alla guerra informatica? Era il desiderio comune di tutti i membri dell’organizzazione?

KILLMILK: Sono russo e ho deciso di essere al servizio del mio paese il più possibile. Questo vale anche per i miei colleghi membri di KILLNET.

«Лента.ру»: Hai notato tentativi di infiltrazione in KILLNET da parte di agenzie d’intelligence occidentali o ucraine?

Advertisements

KILLMILK: Vediamo queste persone da lontano e la conversazione con loro è breve. Fondamentalmente termina con un messaggio di tre lettere.

«Лента.ру»: C’è una chiara divisione nella darknet russa in gruppi filo-russi o anti-russi?

KILLMILK: La darknet è una comunità in cui ci sono sia professionisti che truffatori. Molte squadre ci aiutano nella nostra lotta. Ma, in generale, l’80 percento del dark web rimane neutrale. Il loro obiettivo è il guadagno finanziario, qualunque cosa accada al paese. Allo stesso tempo, membri di molti gruppi hanno lasciato la Russia e ora si oppongono a noi.

«Лента.ру»: KILLNET è supportato sul dark web russo?

Advertisements

KILLMILK: Ad essere onesti, tutti sono indifferenti al nostro movimento, ognuno ha i propri affari. Il supporto viene da una ristretta cerchia di persone che sono i nostri sostenitori e sponsor.