Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Italia Sotto Attacco: Guardia di Finanza, Porto di Taranto e altre istituzioni nella mira di NoName057(16)

Vincenzo Miccoli : 12 Dicembre 2024 10:13

Il gruppo di attivisti filorussi NoName057(16) sta conducendo una serie di attacchi DDoS mirati contro numerose istituzioni e aziende italiane, con l’intento di destabilizzare e paralizzare l’infrastruttura digitale del Paese. Questi attacchi, che fanno parte di una campagna più ampia di cyberattacchi contro i Paesi che sostengono l’Ucraina, mirano a danneggiare la reputazione e le capacità operative delle entità coinvolte, sfruttando tecniche sofisticate per compromettere la sicurezza e l’affidabilità delle reti italiane.

Motivazione

Secondo quanto riferito dal gruppo di hacker sul suo canale Telegram, NoName057(16) ha dichiarato l’intenzione di “celebrare” la nomina di Giorgia Meloni, indicata da Politico come il politico più influente d’Europa, con una serie di attacchi DDoS mirati contro l’infrastruttura internet italiana, accusandola di essere un’alleata dell’Ucraina e del presidente Zelensky.

Il tool usato per condurre gli attacchi: DDoSia

NoName057(16) è un gruppo hacktivista pro-Russia attivo dal 2022, noto per condurre attacchi DDoS contro istituzioni governative, aziende e infrastrutture critiche nei Paesi che sostengono l’Ucraina. Utilizzano il loro canale Telegram per rivendicare attacchi, coordinare operazioni e mobilitare la loro comunità di sostenitori. Il gruppo si distingue per l’uso del tool DDosia, un software progettato per eseguire attacchi distribuiti con efficacia crescente, e per l’adozione di tecniche avanzate per eludere le difese informatiche.

Funzionamento tecnico del tool

  1. Architettura e linguaggio:
    • Originariamente sviluppato in Python, il tool è stato successivamente riscritto in linguaggio Go per migliorare l’efficienza e la sicurezza.
    • Utilizza il protocollo HTTP per comunicare con i server Command & Control (C2), che forniscono istruzioni e obiettivi.
  2. Esecuzione e comunicazione con i server C2:
    • All’avvio, DDoSia effettua una richiesta di autenticazione POST al server C2 con un payload cifrato in AES-GCM.
    • Dopo l’autenticazione, il server fornisce un identificativo temporale (epoch) e l’elenco dei target da attaccare, anch’esso cifrato.
    • Le richieste includono parametri specifici, come:
      • “U”: un hash fornito tramite il bot Telegram del gruppo.
      • “C”: un GUID del dispositivo che esegue il tool.
      • “K”: un valore codificato in base32 per accedere alla lista dei target.
    • I target sono distribuiti in un file JSON cifrato che viene decifrato localmente per l’attacco.
  3. Cifratura e sicurezza:
    • Il toolkit utilizza algoritmi avanzati come AES-GCM per cifrare sia le comunicazioni che i dati trasmessi.
    • La chiave di cifratura è generata dinamicamente utilizzando informazioni del sistema, come il GUID del dispositivo e il Process ID (PID).
    • L’uso di header e valori dinamici, come User-Agent casuali, rende più difficile il rilevamento da parte delle difese di rete.
  4. Aggiornamenti e miglioramenti:
    • Nel 2023, sono stati introdotti nuovi meccanismi di autenticazione e ulteriori livelli di cifratura per nascondere meglio i target e complicare l’analisi tecnica.
    • Le risposte del server includono dati strutturati in modo da eludere i controlli statici, con variazioni regolari per evitare il blocco delle infrastrutture C2.

Conclusioni


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Gli attacchi DDoS orchestrati dal gruppo hacktivista NoName057(16) rappresentano una minaccia concreta e persistente per le infrastrutture critiche e aziendali italiane. Motivati da ragioni ideologiche e politiche, i membri del gruppo sfruttano strumenti tecnicamente avanzati, come il toolkit DDoSia, per condurre operazioni di cyberwarfare contro i Paesi percepiti come ostili alla Russia.

La capacità del gruppo di adattare le proprie tecniche, migliorare la sicurezza delle comunicazioni e mobilitare una comunità di sostenitori attraverso i social media lo rende un avversario particolarmente complesso da contrastare. Gli attacchi contro l’Italia evidenziano non solo una strategia ben coordinata, ma anche l’intento di colpire simbolicamente e strategicamente un Paese considerato influente a livello europeo.

Per fronteggiare questa minaccia, è essenziale che le istituzioni e le aziende italiane rafforzino le proprie difese informatiche, investano in tecnologie di monitoraggio avanzate e promuovano una maggiore collaborazione tra pubblico e privato. Solo attraverso un approccio proattivo e condiviso sarà possibile mitigare gli impatti di questa campagna di attacchi e proteggere le infrastrutture strategiche nazionali.

Vincenzo Miccoli
Fin da bambino ho nutrito una profonda passione per l'informatica, scoprendo con il tempo un ramo ancora più affascinante e sorprendente, la sicurezza informatica. Laureato con Lode presso l’università degli Studi di Bari Aldo Moro in Sicurezza Informatica. Attualmente, ricopro il ruolo di Cyber Security Analyst, costantemente motivato dalla volontà di approfondire le mie conoscenze e progredire costantemente.

Lista degli articoli

Articoli in evidenza

Il kernel Linux verso il “vibe coding”? Le regole per l’utilizzo degli assistenti AI sono alle porte
Di Redazione RHC - 26/07/2025

Sasha Levin, sviluppatore di kernel Linux di lunga data, che lavora presso NVIDIA e in precedenza presso Google e Microsoft, ha proposto di aggiungere alla documentazione del kernel regole formali per...

Google trasforma il web in una vetrina per l’AI! Un disastro a breve per l’economia digitale
Di Redazione RHC - 26/07/2025

Google sta trasformando il suo motore di ricerca in una vetrina per l’intelligenza artificiale, e questo potrebbe significare un disastro per l’intera economia digitale. Secondo un nuovo...

Gli Exploit SharePoint sono in corso: aziende e enti nel mirino
Di Sandro Sana - 26/07/2025

Il panorama delle minacce non dorme mai, ma stavolta si è svegliato con il botto. Il 18 luglio 2025, l’azienda di sicurezza Eye Security ha lanciato un allarme che ha subito trovato eco ne...

Operazione Checkmate: colpo grosso delle forze dell’ordine. BlackSuit è stato fermato!
Di Redazione RHC - 25/07/2025

Nel corso di un’operazione internazionale coordinata, denominata “Operation Checkmate”, le forze dell’ordine hanno sferrato un duro colpo al gruppo ransomware BlackSuit (qu...

I Mostri sono stati puniti! GreySkull: 18 condanne e 300 anni di carcere per i pedofili
Di Redazione RHC - 25/07/2025

Il Dipartimento di Giustizia degli Stati Uniti ha segnalato lo smantellamento di quattro piattaforme darknet utilizzate per la distribuzione di materiale pedopornografico. Contemporaneamente, un dicio...