Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Alla scoperta di NoName057(16). Gli hacktivisti filo-russi del DDoS

Redazione RHC : 7 Aprile 2023 08:06

Negli ultimi periodi stiamo assistendo ad una rinascita dell’hacktivismo cibernetico, dovuto alla situazione geopolitica e alla guerra tra Russia e Ucraina. Mentre Killnet ha attaccato le infrastrutture Nazionali italiane nel 2022, da fine del 2022 ha lasciato il testimone a NoName057(16), che con costanza effettua campagne DDoS verso obiettivi italiani.

Avast, leader globale nella sicurezza digitale e nella privacy, ha monitorato l’attività di questo gruppo dal 1° giugno 2022. Il gruppo reagisce all’evoluzione delle situazioni politiche, prendendo di mira aziende e istituzioni filo ucraine, sia in Ucraina che nei paesi limitrofi, come Estonia, Lituania, Norvegia e Polonia, oltre ad altre nazioni che appoggiano l’Ucraina.

Secondo la ricerca di Avast, il gruppo ha una percentuale di successo del 40% e le aziende con un’infrastruttura ben protetta possono resistere ai loro tentativi di attacco.  La ricerca ha anche scoperto che il 20% dei successi dichiarati dal gruppo potrebbe non essere opera loro. 

Gli Obiettivi di NoName057(16)

Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

NoName057(16) effettua esclusivamente attacchi di tipo DDoS. All’inizio di giugno, il gruppo ha preso di mira i server dei quotidiani ucraini.  Quindi, si sono concentrati sui siti Web all’interno dell’Ucraina appartenenti a città, governi locali, società di servizi pubblici, produttori di armamenti, società di trasporti e uffici postali. 

A metà giugno, gli attacchi sono diventati più politicamente motivati. Gli Stati baltici (Lituania, Lettonia ed Estonia) sono stati presi di mira in modo significativo. A seguito del divieto di transito di merci soggette a sanzioni dell’UE attraverso il loro territorio verso Kaliningrad, il gruppo ha preso di mira le società di trasporto lituane, le ferrovie locali e le società di trasporto su autobus. 

Il 1 luglio 2022, il trasporto di merci destinate a raggiungere i minatori impiegati dalla società di estrazione del carbone di proprietà del governo russo, Arktikugol, è stato interrotto dalle autorità norvegesi. 

In risposta, il gruppo ha reagito attaccando le compagnie di trasporto norvegesi (Kystverket, Helitrans, Boreal), il servizio postale norvegese (Posten) e le istituzioni finanziarie norvegesi (Sbanken, Gjensidige), dopo che la Finlandia ha annunciato l’intenzione di aderire alla NATO.

Interessante come lettura l’intervista effettuata da MatriceDigitale al gruppo di hacktivisti che riportava, prima degli attacchi all’Italia, che il gruppo stava analizzando il perimetro italiano per sferrare una serie di attacchi, cosa che è successa in varie ondate tra fine 2022 ed inizio 2023.

Un alto tasso di successo

NoName057(16) si vanta dei suoi attacchi DDoS di successo con i suoi oltre 34.000 follower su Telegram. Il loro canale è stato creato l’11 marzo 2022. Il gruppo segnala solo attacchi DDoS riusciti.  

Sebbene il numero di attacchi riusciti riportato dal gruppo sembri elevato, le informazioni statistiche indicano il contrario“, spiega Martin Chlumecky, ricercatore di malware presso Avast che ha aggiunto:

“Il tasso di successo del gruppo è del 40%. Abbiamo confrontato l’elenco degli obiettivi che il server C&C invia ai bot Bobik con ciò che il gruppo pubblica sul proprio canale Telegram. I siti Web ospitati su server ben protetti possono resistere agli attacchi. Circa il 20% degli attacchi di cui il gruppo afferma di essere responsabile non corrispondeva agli obiettivi elencati nei loro file di configurazione”.

I robot Bobik agiscono come soldati 

Il gruppo controlla molti PC in tutto il mondo infettati dal malware chiamato Bobik, che agiscono come bot all’interno della botnet da loro controllata. Bobik è emerso per la prima volta nel 2020 ed è stato utilizzato in passato come strumento di accesso remoto. 

Il malware è distribuito da un dropper chiamato Redline Stealer, che è una botnet-as-a-service che i criminali informatici pagano per diffondere il loro malware preferito. Avast ha protetto alcune centinaia di PC da Bobik. Il ricercatore di Avast, Martin Chlumecky, tuttavia, stima che ci siano diverse migliaia di bot Bobik in circolazione, considerando l’efficacia e la frequenza degli attacchi. 

Il gruppo invia comandi ai suoi bot tramite un server C&C situato in Romania. In precedenza, il gruppo aveva due server aggiuntivi in ​​Romania e Russia, ma questi non sono più attivi. I bot ricevono elenchi di obiettivi per attacchi DDoS, sotto forma di file di configurazione XML, che vengono aggiornati tre volte al giorno. 

Tentano di sovraccaricare le pagine di accesso, i siti di recupero password e le ricerche sui siti, oltre alle pagine di login delle applicazioni. Gli attacchi durano da poche ore a pochi giorni. 

Impatto degli attacchi 

Gli attacchi di maggior successo del gruppo lasciano i siti inattivi per diverse ore o alcuni giorni.

Per gestire gli attacchi, gli operatori di siti più piccoli e locali ricorrono spesso al blocco delle query provenienti dall’esterno del proprio paese, il famoso GeoLocking, incontrato più volte in questo periodo negli attacchi sferrati contro obiettivi italiani. In casi estremi, alcuni proprietari di siti presi di mira dal gruppo hanno annullato la registrazione dei propri domini.

La potenza degli attacchi DDoS eseguiti da NoName057(16) è discutibile. A un certo punto, possono colpire efficacemente circa tredici indirizzi URL contemporaneamente, a giudicare dalla cronologia delle configurazioni, inclusi i sottodomini”, continua Martin Chlumecky. “Inoltre, una configurazione XML include spesso un dominio definito come un insieme di sottodomini, quindi Bobik attacca efficacemente cinque diversi domini all’interno di una configurazione. Di conseguenza, non possono concentrarsi su più domini per motivi di capacità e di efficienza”. 

Gli attacchi DDoS effettuati sono stati più difficili da gestire per alcuni operatori di siti di domini importanti e significativi, come banche, governi e società internazionali. 

Dopo un attacco riuscito, i ricercatori di Avast hanno notato aziende più grandi che implementano soluzioni aziendali, come Cloudflare, Akamai o BitNinja, che possono filtrare il traffico in entrata e rilevare gli attacchi DDoS nella maggior parte dei casi. 

D’altra parte, la maggior parte delle grandi aziende internazionali si aspetta un traffico più intenso ed esegue i propri server Web nel cloud con soluzioni anti-DDoS, rendendoli più resistenti agli attacchi. Ad esempio, il gruppo non è riuscito a smantellare siti appartenenti alla banca danese Danske Bank (attaccata dal 19 al 21 giugno 2022) e alla banca lituana SEB (attaccata dal 12 al 13 luglio 2022 e dal 20 al 21 luglio 2022). 

Che cos’è un attacco Distributed Denial of Service

Un attacco DDoS (Distributed Denial of Service) è un tipo di attacco informatico in cui vengono inviate una grande quantità di richieste a un server o a un sito web da molte macchine diverse contemporaneamente, al fine di sovraccaricare le risorse del server e renderlo inaccessibile ai suoi utenti legittimi.

Queste richieste possono essere inviate da un grande numero di dispositivi infetti da malware e controllati da un’organizzazione criminale, da una rete di computer compromessi chiamata botnet, o da altre fonti di traffico non legittime. L’obiettivo di un attacco DDoS è spesso quello di interrompere le attività online di un’organizzazione o di un’azienda, o di costringerla a pagare un riscatto per ripristinare l’accesso ai propri servizi online.

Gli attacchi DDoS possono causare danni significativi alle attività online di un’organizzazione, inclusi tempi di inattività prolungati, perdita di dati e danni reputazionali. Per proteggersi da questi attacchi, le organizzazioni possono adottare misure di sicurezza come la limitazione del traffico di rete proveniente da fonti sospette, l’utilizzo di servizi di protezione contro gli attacchi DDoS o la progettazione di sistemi resistenti agli attacchi DDoS.

Occorre precisare che gli attacchi di tipo DDoS, seppur provocano un disservizio temporaneo ai sistemi, non hanno impatti sulla Riservatezza e Integrità dei dati, ma solo sulla loro disponibilità. pertanto una volta concluso l’attacco DDoS, il sito riprende a funzionare esattamente come prima.

Che cos’è l’hacktivismo cibernetico

L’hacktivismo cibernetico è un movimento che si serve delle tecniche di hacking informatico per promuovere un messaggio politico o sociale. Gli hacktivisti usano le loro abilità informatiche per svolgere azioni online come l’accesso non autorizzato a siti web o a reti informatiche, la diffusione di informazioni riservate o il blocco dei servizi online di una determinata organizzazione.

L’obiettivo dell’hacktivismo cibernetico è di sensibilizzare l’opinione pubblica su questioni importanti come la libertà di espressione, la privacy, la libertà di accesso all’informazione o la lotta contro la censura online. Gli hacktivisti possono appartenere a gruppi organizzati o agire individualmente, ma in entrambi i casi utilizzano le loro competenze informatiche per creare un impatto sociale e politico.

È importante sottolineare che l’hacktivismo cibernetico non deve essere confuso con il cybercrime, ovvero la pratica di utilizzare le tecniche di hacking per scopi illeciti come il furto di dati personali o finanziari. Mentre il cybercrime è illegale, l’hacktivismo cibernetico può essere considerato legittimo se mira a portare all’attenzione pubblica questioni importanti e a favorire il dibattito democratico. Tuttavia, le azioni degli hacktivisti possono avere conseguenze legali e gli hacktivisti possono essere perseguiti per le loro azioni.

La tecnica del “Slow Http Attack”

L’attacco “Slow HTTP Attack” (l’articolo completo a questo link) è un tipo di attacco informatico che sfrutta una vulnerabilità dei server web. In questo tipo di attacco, l’attaccante invia molte richieste HTTP incomplete al server bersaglio, con lo scopo di tenere occupate le connessioni al server per un periodo prolungato e impedire l’accesso ai legittimi utenti del sito.

Nello specifico, l’attacco Slow HTTP sfrutta la modalità di funzionamento del protocollo HTTP, che prevede che una richiesta HTTP sia composta da tre parti: la richiesta, la risposta e il corpo del messaggio. L’attaccante invia molte richieste HTTP incomplete, in cui il corpo del messaggio viene inviato in modo molto lento o in modo incompleto, bloccando la connessione e impedendo al server di liberare le risorse necessarie per servire altre richieste.

Questo tipo di attacco è particolarmente difficile da rilevare e mitigare, poiché le richieste sembrano legittime, ma richiedono un tempo eccessivo per essere elaborate dal server. Gli attacchi Slow HTTP possono causare tempi di risposta molto lenti o tempi di inattività del server, rendendo impossibile l’accesso ai servizi online ospitati su quel sistema.

Per proteggersi da questi attacchi, le organizzazioni possono implementare soluzioni di sicurezza come l’uso di firewall applicativi (web application firewall o WAF), la limitazione delle connessioni al server e l’utilizzo di sistemi di rilevamento e mitigazione degli attacchi DDoS.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.