E’ dal 1996 che si parla di hacktivismo. Il termine deriva dall’unione delle parole hacking e activism (attivismo) e indica le “pratiche dell’azione diretta digitale in stile hacker riferibile, agli albori, agli autori dei primi netstrike”, ed oggi indica le pratiche di chi utilizza strumenti ‘non violenti’ ma comunque illegali o legalmente ambigui per perseguire fini politici. E’ evidente come la situazione geopolitica attuale rappresenti un terreno fertile per queste pratiche e per gli attori del comparto. Ne parlano David Gubiani, regional director SE Emea Southern di Check Point Software, e Pierluigi Torriani, Security Engineering manager che analizzano l’evoluzione del fenomeno cyber e ne individuano i trend anche in relazione all’evoluzione dei rischi di cybersecurity per il prossimo anno.
Il fenomeno è balzato agli onori delle cronache con Anonymous che negli anni ha lanciato diverse campagne contro target variegati, individuati in base a preferenze e desideri dei membri. “Oggi però il contesto è profondamente cambiato – esordisce Gubiani – anche in relazione ai conflitti nell’Europa dell’est e nel Medio Oriente. Crescono le attività di gruppi hacker organizzati ma soprattutto il fenomeno dell’hacktivismo non riguarda più solamente gruppi eterogenei. E’ organizzato e strutturato oltre ad essere più sofisticato”. E si è esteso.
Alcuni riferimenti di partenza: “Nella prima parte dell’anno sono cresciuti del 42% i cyberattacchi a livello globale e si sono intensificate le pratiche di cyberwarfare come pratica essenziale anche nella conduzione dei conflitti militari”. Nei mesi recenti – ovviamente anche in relazione al conflitto tra Russia e Ucraina – sono entrati nel mirino Stati Uniti, Germania, Lituania, Italia, Estonia, Norvegia, Finlandia, Polonia e Giappon – in alcuni casi anche con impatti significativi – oltre ad aziende strategiche come Lockheed Martin, che opera come contraente della sicurezza globale.
“Struttura gerarchica, recruitment organizzato e tool sempre più sofisticati caratterizzano oggi l’attività dei gruppi che si allineano nella selezione dei bersagli e spesso agiscono anche in modo coordinato tra loro – prosegue Gubiani –. Senza tralasciare di “pubblicizzare e promuovere sui diversi canali i risultati ottenuti”.
Un esempio su tutti: Killnet ha più di 89mila iscritti sui suoi canali social, ed è organizzata secondo una struttura militare con una gerarchia tipicamente top-down. Consiste in un insieme di squadre preparate ad eseguire attacchi che rispondano ad un ordine principale. E si contano una dozzina di sotto-gruppi fra i quali il primario è Legion.
Chi guida l’attività assegna ordini d’attacco ai diversi capogruppo, che danno vita a infrastrutture indipendenti, migliorando le probabilità di sopravvivenza dell’intera organizzazione. Un metodo che aiuta anche la crescita del gruppo con una pagina Telegram dedicata che contiene regole, discussioni riguardanti gli obiettivi e i criteri per lo sviluppo delle squadre.
“Una crescita comunque molto controllata anche per quanto riguarda le competenze – specifica Gubiani –. Questi gruppi infatti puntano ad ‘arruolare’ i più bravi anche attraverso processi di pre-selezione per assumere solo hacker competenti o esperti di un particolare campo, e così ridurre il rischio di fare errori che potrebbero compromettere l’intera operazione”.
Killnet non è ovviamente l’unico gruppo che si è messo in evidenza negli ultimi mesi. Per esempio, Noname057(16) ha specificamente individuato come obiettivi degli attacchi futuri i Paesi nell’Unione Europea impegnati a sostenere l’Ucraina come Polonia, Lituania, Lettonia, Slovacchia e Finlandia ed ha attaccato il sito del parlamento finlandese ad agosto, dopo che la Finlandia aveva espresso interesse nell’unirsi alla Nato.
Mentre From Russia with Love (FRwL) si è assunto il merito di aver realizzato diversi attacchi contro i nemici russi, fino ad avere ottenuto informazioni sensibili accedendo ai canali Telegram connessi al Servizio di Sicurezza ucraino. Proprio FrwL poi ha partecipato agli attacchi su Lockheed Martin e subappaltatori che producono Himars, che sono parte dell’assistenza americana fornita all’Ucraina. Sul fronte opposto, invece, uno dei gruppi più importanti che si è unito alla causa dell’esercito IT dell’Ucraina è il TeamOneFist. E’ il collettivo a favore dell’Ucraina, che, in agosto, ha preso di mira la città di Khanty-Mansiysk in Russia, danneggiando la centrale elettrica e causando un blackout all’aeroporto.
Attacchi DdoS e ransomware sono tra le principali armi utilizzate dagli hacker. I gruppi di hacktivisti si sforzano di utilizzare strumenti più avanzati per eseguire i loro attacchi, e più gli attacchi arrecano danni, più i gruppi guadagnano in termini di notorietà ed esposizione.
Non mancano i segni di tattiche avanzate, ma le campagne hacktiviste manifestano anche tratti comuni e diffusi: la maggior parte dell’attività resta concentrata attorno agli attacchi DDoS tramite il ricorso a enormi botnet (rete di computer collegati alla rete telematica che passano sotto il controllo di un’unica entità).
Assieme agli attacchi DDoS i principali strumenti utilizzati fanno riferimento alle tecniche di spear phishing, Sql injection, Bug Hunting e Web Shell, mentre per quanto riguarda gli effetti perseguiti compromettere le infrastrutture critiche, la disinformazione, il defacement ed il doxxing – la pratica di cercare e diffondere pubblicamente online informazioni personali e private – sono quelli più frequentemente segnalati dall’analisi di Check Point Software.
Entra nei dettagli dell’analisi sull’evoluzione degli attacchi, Pierluigi Torriani, quasi a ripercorrere la roadmap di quanto accaduto: “A marzo, l’aeroporto internazionale di Bradley in Connecticut (negli Usa), ha subito un attacco DDoS che ha interessato il proprio sito Web”. Ad aprile, alcuni siti Web governativi rumeni, come quello del ministero della Difesa, quello della Polizia di Confine, quello della Compagnia Nazionale dei Trasporti Ferroviari e una banca commerciale, “sono stati resi irraggiungibili per diverse ore, in risposta ad una affermazione fatta dal leader rumeno del partito Socialdemocratico Marcel Ciolacu, che si è offerto di procurare armi all’Ucraina”. A maggio si sono registrati invece importanti “attacchi DDoS che hanno coinvolto diversi bersagli tedeschi, fra cui il sito del partito a cui appartiene il cancelliere Olaf Scholz“, ma anche il sito del ministero della Difesa tedesco, quello del Parlamento tedesco, quello della Polizia Federale e diverse autorità della polizia statale, “proprio in risposta agli sforzi dell’amministrazione Scholz di fornire equipaggio militare all’Ucraina”.
Anche in Italia sono stati presi di mira poi “il Senato italiano, il ministero della Difesa e l‘Istituto Superiore di Sanità”. Sono di giugno inoltre due significative onde di attacchi contro la Lituania e la Norvegia in risposta ai preoccupanti sviluppi geopolitici che sono avvenuti fra questi Paesi e la Russia e nello stesso mese anche diverse grosse organizzazioni norvegesi sono state disconnesse. Più recenti gli attacchi a luglio indirizzati contro i siti Web polacchi, mentre agosto ha visto una vera e propria “tempesta” contro la Lettonia (attacco Ddos al sito del parlamento), “mentre a settembre per la prima volta Killnet ha rivolto le sue attenzioni verso Est, all’Asia, volta indirizzando i suoi sforzi in particolare al Giappone, a causa del supporto giapponese all’Ucraina”.
A preoccupare oggi è proprio l’agenda di attività legate agli Stati e l’asservimento delle organizzazioni agli specifici interessi e di specifici governi, così come l’ispirazione generata dai gruppi di hacktivisti nei governi, che potrebbe significare l’evoluzione di questa attività in un fenomeno di lungo termine.
Le previsioni di Check Point Software partono dai numeri in crescita di questo ultimo periodo. Gli attacchi informatici in tutti i settori industriali sono aumentati del 28% nel terzo trimestre del 2022 rispetto al 2021 e Check Point Software prevede gli incrementi siano guidati dall’aumento degli exploit ransomware e proprio dell’hacktivismo mobilitato dallo stato guidato dai conflitti internazionali. Botnet, ransomware e cryptomining le tipologie di malware di maggiore impatto per le nostre organizzazioni.
Sono quindi quattro i temi sotto la lente del vendor: malware e phishing; hacktivism; normative governative emergenti; e consolidamento della sicurezza.
Secondo Check Point Software, l’“ecosistema ransomware” continuerà la sua evoluzione e crescita con gruppi criminali più piccoli e più agili che si formeranno per eludere le forze dell’ordine. Saranno nel mirino i software per la collaboration, oltre che la posta elettronica, come veicolo per gli exploit di phishing. Campagne di hacktivism mobilitate dai diversi Paesi in modo strutturato rappresentano la seconda evidenza nei trend; così come le campagne di deep-fake.
La risposta attesa è prevista attraverso nuove leggi sulle violazioni dei dati, ma anche il rafforzamento delle risorse per le task-force dei Paesi, proprio a livello governativo, per contrastare il ransomware e la criminalità informatica, riunendo imprese, dipartimenti statali e forze dell’ordine per combattere la crescente minaccia per il commercio e i consumatori. L’attività dell’Agenzia per la Cybersicurezza in Italia, è un esempio. Tra i consigli dell’azienda invece il primo riguarda gli sforzi nel ridurre la complessità in un contesto in cui divario globale di competenze informatiche è cresciuto di oltre il 25% nel 2022.
© RIPRODUZIONE RISERVATA