Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Italia Sotto Attacco: Guardia di Finanza, Porto di Taranto e altre istituzioni nella mira di NoName057(16)

Vincenzo Miccoli : 12 Dicembre 2024 10:13

Il gruppo di attivisti filorussi NoName057(16) sta conducendo una serie di attacchi DDoS mirati contro numerose istituzioni e aziende italiane, con l’intento di destabilizzare e paralizzare l’infrastruttura digitale del Paese. Questi attacchi, che fanno parte di una campagna più ampia di cyberattacchi contro i Paesi che sostengono l’Ucraina, mirano a danneggiare la reputazione e le capacità operative delle entità coinvolte, sfruttando tecniche sofisticate per compromettere la sicurezza e l’affidabilità delle reti italiane.

Motivazione

Secondo quanto riferito dal gruppo di hacker sul suo canale Telegram, NoName057(16) ha dichiarato l’intenzione di “celebrare” la nomina di Giorgia Meloni, indicata da Politico come il politico più influente d’Europa, con una serie di attacchi DDoS mirati contro l’infrastruttura internet italiana, accusandola di essere un’alleata dell’Ucraina e del presidente Zelensky.

Il tool usato per condurre gli attacchi: DDoSia

NoName057(16) è un gruppo hacktivista pro-Russia attivo dal 2022, noto per condurre attacchi DDoS contro istituzioni governative, aziende e infrastrutture critiche nei Paesi che sostengono l’Ucraina. Utilizzano il loro canale Telegram per rivendicare attacchi, coordinare operazioni e mobilitare la loro comunità di sostenitori. Il gruppo si distingue per l’uso del tool DDosia, un software progettato per eseguire attacchi distribuiti con efficacia crescente, e per l’adozione di tecniche avanzate per eludere le difese informatiche.

Funzionamento tecnico del tool

  1. Architettura e linguaggio:
    • Originariamente sviluppato in Python, il tool è stato successivamente riscritto in linguaggio Go per migliorare l’efficienza e la sicurezza.
    • Utilizza il protocollo HTTP per comunicare con i server Command & Control (C2), che forniscono istruzioni e obiettivi.
  2. Esecuzione e comunicazione con i server C2:
    • All’avvio, DDoSia effettua una richiesta di autenticazione POST al server C2 con un payload cifrato in AES-GCM.
    • Dopo l’autenticazione, il server fornisce un identificativo temporale (epoch) e l’elenco dei target da attaccare, anch’esso cifrato.
    • Le richieste includono parametri specifici, come:
      • “U”: un hash fornito tramite il bot Telegram del gruppo.
      • “C”: un GUID del dispositivo che esegue il tool.
      • “K”: un valore codificato in base32 per accedere alla lista dei target.
    • I target sono distribuiti in un file JSON cifrato che viene decifrato localmente per l’attacco.
  3. Cifratura e sicurezza:
    • Il toolkit utilizza algoritmi avanzati come AES-GCM per cifrare sia le comunicazioni che i dati trasmessi.
    • La chiave di cifratura è generata dinamicamente utilizzando informazioni del sistema, come il GUID del dispositivo e il Process ID (PID).
    • L’uso di header e valori dinamici, come User-Agent casuali, rende più difficile il rilevamento da parte delle difese di rete.
  4. Aggiornamenti e miglioramenti:
    • Nel 2023, sono stati introdotti nuovi meccanismi di autenticazione e ulteriori livelli di cifratura per nascondere meglio i target e complicare l’analisi tecnica.
    • Le risposte del server includono dati strutturati in modo da eludere i controlli statici, con variazioni regolari per evitare il blocco delle infrastrutture C2.

Conclusioni

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Gli attacchi DDoS orchestrati dal gruppo hacktivista NoName057(16) rappresentano una minaccia concreta e persistente per le infrastrutture critiche e aziendali italiane. Motivati da ragioni ideologiche e politiche, i membri del gruppo sfruttano strumenti tecnicamente avanzati, come il toolkit DDoSia, per condurre operazioni di cyberwarfare contro i Paesi percepiti come ostili alla Russia.

La capacità del gruppo di adattare le proprie tecniche, migliorare la sicurezza delle comunicazioni e mobilitare una comunità di sostenitori attraverso i social media lo rende un avversario particolarmente complesso da contrastare. Gli attacchi contro l’Italia evidenziano non solo una strategia ben coordinata, ma anche l’intento di colpire simbolicamente e strategicamente un Paese considerato influente a livello europeo.

Per fronteggiare questa minaccia, è essenziale che le istituzioni e le aziende italiane rafforzino le proprie difese informatiche, investano in tecnologie di monitoraggio avanzate e promuovano una maggiore collaborazione tra pubblico e privato. Solo attraverso un approccio proattivo e condiviso sarà possibile mitigare gli impatti di questa campagna di attacchi e proteggere le infrastrutture strategiche nazionali.

Vincenzo Miccoli
Fin da bambino ho nutrito una profonda passione per l'informatica, scoprendo con il tempo un ramo ancora più affascinante e sorprendente, la sicurezza informatica. Laureato con Lode presso l’università degli Studi di Bari Aldo Moro in Sicurezza Informatica. Attualmente, ricopro il ruolo di Cyber Security Analyst, costantemente motivato dalla volontà di approfondire le mie conoscenze e progredire costantemente.

Articoli in evidenza

Bias Cognitivi: Il bug più pericoloso non è nel Software, ma nella nostra Mente!

In un’era dominata dalla tecnologia, dove ogni click, ogni dato, ogni interazione digitale è un potenziale campo di battaglia, la cybersecurity è lo scudo digitale, la fortezza immate...

Il Giallo dell’attacco ad Oracle Cloud continua tra CVE, handle sull’Internet Archive e Meme

La scorsa settimana, un threat actors di nome ‘rose87168’ ha affermato di aver violato i server Oracle Cloud e di aver iniziato a vendere i presunti dati di autenticazione e le password ...

Grave Zero-day rilevato in Chrome! Gli Hacker di stato stanno sfruttando questa falla critica

Recentemente Google ha rilasciato un urgente bug fix relativo ad una nuova vulnerabilità monitorata con il CVE-2025-2783. Si tratta di una grave falla di sicurezza su Chrome Browser che è st...

VMware Tools nel mirino: falla critica espone le macchine virtuali Windows!

VMware Tools for Windows stanno affrontando una vulnerabilità critica di bypass dell’autenticazione. La falla, identificata come CVE-2025-22230, consente ad attori malintenzionati con priv...

Truffa ai danni dell’INPS! Il Tuo Documento è in Vendita nel Dark Web? Siate sempre vigili e attenti!

Il CERT-AgID ha più volte segnalato attività di smishing a tema INPS che continuano a colpire il territorio italiano. L’obiettivo, come già evidenziato, è il furto di c...