Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Italia Sotto Attacco: Guardia di Finanza, Porto di Taranto e altre istituzioni nella mira di NoName057(16)

Vincenzo Miccoli : 12 Dicembre 2024 10:13

Il gruppo di attivisti filorussi NoName057(16) sta conducendo una serie di attacchi DDoS mirati contro numerose istituzioni e aziende italiane, con l’intento di destabilizzare e paralizzare l’infrastruttura digitale del Paese. Questi attacchi, che fanno parte di una campagna più ampia di cyberattacchi contro i Paesi che sostengono l’Ucraina, mirano a danneggiare la reputazione e le capacità operative delle entità coinvolte, sfruttando tecniche sofisticate per compromettere la sicurezza e l’affidabilità delle reti italiane.

Motivazione

Secondo quanto riferito dal gruppo di hacker sul suo canale Telegram, NoName057(16) ha dichiarato l’intenzione di “celebrare” la nomina di Giorgia Meloni, indicata da Politico come il politico più influente d’Europa, con una serie di attacchi DDoS mirati contro l’infrastruttura internet italiana, accusandola di essere un’alleata dell’Ucraina e del presidente Zelensky.

Il tool usato per condurre gli attacchi: DDoSia

NoName057(16) è un gruppo hacktivista pro-Russia attivo dal 2022, noto per condurre attacchi DDoS contro istituzioni governative, aziende e infrastrutture critiche nei Paesi che sostengono l’Ucraina. Utilizzano il loro canale Telegram per rivendicare attacchi, coordinare operazioni e mobilitare la loro comunità di sostenitori. Il gruppo si distingue per l’uso del tool DDosia, un software progettato per eseguire attacchi distribuiti con efficacia crescente, e per l’adozione di tecniche avanzate per eludere le difese informatiche.

Funzionamento tecnico del tool

  1. Architettura e linguaggio:
    • Originariamente sviluppato in Python, il tool è stato successivamente riscritto in linguaggio Go per migliorare l’efficienza e la sicurezza.
    • Utilizza il protocollo HTTP per comunicare con i server Command & Control (C2), che forniscono istruzioni e obiettivi.
  2. Esecuzione e comunicazione con i server C2:
    • All’avvio, DDoSia effettua una richiesta di autenticazione POST al server C2 con un payload cifrato in AES-GCM.
    • Dopo l’autenticazione, il server fornisce un identificativo temporale (epoch) e l’elenco dei target da attaccare, anch’esso cifrato.
    • Le richieste includono parametri specifici, come:
      • “U”: un hash fornito tramite il bot Telegram del gruppo.
      • “C”: un GUID del dispositivo che esegue il tool.
      • “K”: un valore codificato in base32 per accedere alla lista dei target.
    • I target sono distribuiti in un file JSON cifrato che viene decifrato localmente per l’attacco.
  3. Cifratura e sicurezza:
    • Il toolkit utilizza algoritmi avanzati come AES-GCM per cifrare sia le comunicazioni che i dati trasmessi.
    • La chiave di cifratura è generata dinamicamente utilizzando informazioni del sistema, come il GUID del dispositivo e il Process ID (PID).
    • L’uso di header e valori dinamici, come User-Agent casuali, rende più difficile il rilevamento da parte delle difese di rete.
  4. Aggiornamenti e miglioramenti:
    • Nel 2023, sono stati introdotti nuovi meccanismi di autenticazione e ulteriori livelli di cifratura per nascondere meglio i target e complicare l’analisi tecnica.
    • Le risposte del server includono dati strutturati in modo da eludere i controlli statici, con variazioni regolari per evitare il blocco delle infrastrutture C2.

Conclusioni

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Gli attacchi DDoS orchestrati dal gruppo hacktivista NoName057(16) rappresentano una minaccia concreta e persistente per le infrastrutture critiche e aziendali italiane. Motivati da ragioni ideologiche e politiche, i membri del gruppo sfruttano strumenti tecnicamente avanzati, come il toolkit DDoSia, per condurre operazioni di cyberwarfare contro i Paesi percepiti come ostili alla Russia.

La capacità del gruppo di adattare le proprie tecniche, migliorare la sicurezza delle comunicazioni e mobilitare una comunità di sostenitori attraverso i social media lo rende un avversario particolarmente complesso da contrastare. Gli attacchi contro l’Italia evidenziano non solo una strategia ben coordinata, ma anche l’intento di colpire simbolicamente e strategicamente un Paese considerato influente a livello europeo.

Per fronteggiare questa minaccia, è essenziale che le istituzioni e le aziende italiane rafforzino le proprie difese informatiche, investano in tecnologie di monitoraggio avanzate e promuovano una maggiore collaborazione tra pubblico e privato. Solo attraverso un approccio proattivo e condiviso sarà possibile mitigare gli impatti di questa campagna di attacchi e proteggere le infrastrutture strategiche nazionali.

Vincenzo Miccoli
Fin da bambino ho nutrito una profonda passione per l'informatica, scoprendo con il tempo un ramo ancora più affascinante e sorprendente, la sicurezza informatica. Laureato con Lode presso l’università degli Studi di Bari Aldo Moro in Sicurezza Informatica. Attualmente, ricopro il ruolo di Cyber Security Analyst, costantemente motivato dalla volontà di approfondire le mie conoscenze e progredire costantemente.

Lista degli articoli

Articoli in evidenza

Arriva PathWiper! Il nuovo malware che devasta le infrastrutture critiche in Ucraina

Gli analisti di Cisco Talos hanno segnalato che le infrastrutture critiche in Ucraina sono state attaccate da un nuovo malware che distrugge i dati chiamato PathWiper. I ricercatori scrivono...

Claude Opus 4: l’intelligenza artificiale che vuole vivere e ha imparato a ricattare

“Se mi spegnete, racconterò a tutti della vostra relazione”, avevamo riportato in un precedente articolo. E’ vero le intelligenze artificiali sono forme di comunicazione basa...

Rilasciato un PoC su GitHub per la vulnerabilità critica RCE nei prodotti Fortinet

Negli ultimi giorni è stato pubblicato su GitHub un proof-of-concept (PoC) per il bug di sicurezza monitorato con il codice CVE-2025-32756, una vulnerabilità critica che interessa diversi pr...

Federazione Russa: 8 Anni di Carcere per un attacco DDoS! La nuova Legge Shock in Arrivo

Secondo quanto riportato dai media, il governo russo ha preparato degli emendamenti al Codice penale, introducendo la responsabilità per gli attacchi DDoS: la pena massima potrebbe includere una ...

Mancano 6 giorni alla quinta Live Class di Red Hot Cyber: “Dark Web & Cyber Threat Intelligence”

La quinta edizione della Live Class “Dark Web & Cyber Threat Intelligence”, uno tra i corsi più apprezzati realizzati da Red Hot Cyber è ormai alle porte: mancano solo 6 giorni...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006