Cyberattacco degli hacker russi di NoName057. Nel mirino anche A2A

Intervento dell'Agenzia per la cybersicurezza nazionale: molti servizi ripristinati altri ancora lenti o irraggiungibili

Hacker

Hacker

Brescia, 22 febbraio 2023 -  Cyber attacco a firma russa a una decina di soggetti tra pubblici e privati   L'attacco di tipo Ddos (Denial of service) è partito ieri in occasione della visita della premier Giorgia Meloni a Kiev. 

Secondo  fonti vicine all'Agenzia per la cybersicurezza nazionale.nel mirino degli hacker Tim, A2A, Bper e i Carabinieri, ma anche altri siti istituzionali sono stati colpiti nelle scorse ore, tra cui Esteri e Difesa (in quest'ultimo caso l'attacco sarebbe avvenuto ieri). 

Sotto attacco dunque è finita anche A2A , la società lombarda multiservizi attiva nei settori della produzione, vendita e distribuzione di elettricità e gas. Oggi A2A è tra i primi cinque fornitori per vendite di energia elettrica ai clienti domestici in Italia ed tra i primi dieci per vendite di gas. 

La reazione

"Stiamo seguendo gli eventi. E' da questa mattina che l'Acn si è occupata di quello che stava accadendo", spiegano le stesse fonti. Molti servizi sono stati prontamente ripristinati; è stata data un'allerta e la costituency nell'insieme "ha reagito molto bene". Qualche servizio è stato ripristinato immediatamente qualcuno non ancora. Dal punto di vista tecnico "non è un attacco volumetrico che ha creato i problemi ma è un attacco diretto alle applicazioni quindi più complesso".Subito dopo gli attacchi hacker è stata data un'allerta e, spiegano le fonti, si è reagito molto bene, immediatamente. 

La rivendicazione

L'attacco è stato rivendicato su Telegram dal collettivo di hacker filorussi NoName057:  "L'Italia - scrive il gruppo su Telegram, menzionando la visita del presidente del Consiglio Giorgia Meloni a Kiev - fornirà all'Ucraina un sesto pacchetto di aiuti militari che includerà tre tipi di sistemi di difesa aerea".  Il collettivo NoName57, secondo le ricostruzioni degli esperti, è apparso a marzo del 2022, a ridosso dell'invasione russa, e ha iniziato a prendere di mira i paesi dell'Est Europa, dalla Polonia alla Lettonia. 

L'esperto

"Si tratta dell'ennesima operazione condotta da gruppi pro-Russia contro aziende ed organizzazioni di Paesi che esprimono supporto all'Ucraina. Il modus operandi è il medesimo: queste formazioni utilizzano gruppi Telegram per vere e proprie chiamate alle armi": è il parere all'Ansa di Pierluigi Paganini, esperto di cybersicurezza, sugli attacchi ad una serie di siti di aziende e istituzioni italiane da parte degli hacker del collettivo filorusso NoName057. "Tipicamente sono condivise liste di siti da colpire con attacchi Ddos che saturandone le risorse li rendono irraggiungibili - spiega Paganini - Si tratta di attacchi semplici, tuttavia la disponibilità di botnet composte da un gran numero di sistemi compromessi rende queste offensive difficili da arginare senza le dovute contromisure. Questi attacchi dimostrano l'impatto di 'Non state actor' nell'attuale conflitto. Si tratta di gruppi criminali ed attivisti che a vario titolo operano in supporto di Mosca. In taluni casi sono stati dimostrati legami proprio con l'intelligence militare russa".

Il ministero

Serafino Sorrenti, chief innovation officer presso la Presidenza del Consiglio dei Ministri Dipartimento per la Trasformazione Digitale, ha spiegato su Linkedin: “Continuano gli attacchi di #Distributed Denial of Service (#DDoS) da parte del gruppo filorusso  #NoName057 e poco fa è comparsa la rivendicazione del #Ministerodegli Ester  #Italiano (https://www[.]esteri[.]it). Questo avviene dopo gli attacchi di ieri al Ministero della Difesa (ora ritornato online), al sito dei Carabinieri (al momento ancora rallentato) e al sito della banca Carige (ancora offline). Questo genere di attacchi vengono chiamati “Slow HTTP Attack” e sono una forma di  #attacco  #DdoS (Distributed Denial of Service) in cui l’attaccante cerca di sfruttare la #debolezza dei server #HTTP, inviando una grande quantità di richieste HTTP parziali”. 

Slow Http 

Secondo il sito specializzato Red Hot Cyber il nome Slow HTTP deriva dal fatto che l’attacco cerca di rendere il server “lento”, rallentando la sua capacità di elaborare richieste HTTP. Gli attacchi Slow HTTP possono essere particolarmente pericolosi poiché possono essere effettuati utilizzando solo un singolo computer e richiedono relativamente poche risorse da parte dell’attaccante, ma possono causare danni significativi al server target.