Chi sono e come agiscono i cosiddetti hacker russi

Il 24 febbraio ricorre l’anniversario dell’inizio della guerra in Ucraina. L’anno di conflitto si è giocato su molteplici fronti, tra i quali quello della cyber sicurezza. Quello informatico è stato un campo che ha visto miscelarsi, tra mille sfaccettature, soldi, servizi segreti e le inevitabili commistioni con la politica russa. L’attacco hacker rivendicato dal collettivo NoName057, che in questi giorni ha colpito diversi siti istituzionali e aziendali italiani, rappresenta l’ennesimo segnale di quanto il conflitto si muova anche sul fronte della sicurezza informatica individuando obiettivi sensibili e attacchi simbolici come quelli delle ultime ore in concomitanza con la visita a Kyiv della presidente del Consiglio Giorgia Meloni.

Le motivazioni dietro ai collettivi più attivi

Dietro le quinte di un attacco, si celano professionisti che devono necessariamente trovare una soluzione per i sistemi compromessi. Una situazione che ha fatto emergere una figura inedita come quella del cyber negoziatore, un professionista che ha il compito di conoscere chi organizza gli attacchi. “Nel panorama attuale delle cyber minacce possiamo individuare diversi tipi di threat actor, tra cui un numero elevato di collettivi e gruppi hacker russi o filorussi mossi principalmente da due scopi: motivazioni di tipo puramente economico o finalizzati alla disruption di servizi delle aziende o delle pubbliche amministrazioni occidentali. Il bollettino degli attacchi dell’ultimo anno ha visto avvicendarsi diversi collettivi di hacker di questa fattispecie, da Killnet a NoName057”, spiega uno dei protagonisti del settore, Enrico Corradini, legal e cyber negoziatore di Var Group e Yarix.

Per comprendere al meglio il contesto, bisogna ricordare che si parla di collettivi mossi ideologicamente e politicamente da sentimenti antioccidentali e dal supporto alla Federazione Russa. “Esistono anche i cosiddetti gruppi Advanced persistent threat di origine russa, come APT 28 (Fancy Bear) e APT 29 (Cozy Bear) per citare i più famosi, gruppi hacker che agiscono più sotto traccia per finalità prevalentemente di cyberspionaggio”, continua Corradini. “Il tipo di minaccia in questo caso è altamente sofisticato e finalizzato allo spionaggio, per carpire informazioni sensibili dall’organizzazione o dal paese attaccato.”

Torniamo al legame con Mosca: nei collettivi come Killnet e NoName057, quanto nei gruppi APT, sono emersi collegamenti con le agenzie di intelligence o comunque con l’establishment russo. Non solo i soli: “Esistono poi le cosiddette RaaS, ransomware as a service gang, gruppi hacker anch’essi prevalentemente di origine russa che, mossi dal movente economico, si specializzano in attacchi ransomware che prevedono la cifratura dei sistemi della vittima e all’esfiltrazione dei dati contenuti nei sistemi e la cessione della chiave di decrittografia dietro il pagamento di un riscatto. Non è però sempre possibile accertare legami tra queste gang e i servizi segreti russi, nonostante spesso si tenda a collegare gli attacchi ransomware a gruppi criminali state-sponsored, collegati cioè – direttamente o indirettamente – a governi.”

Le modalità d’attacco

Se rimane difficile individuare con certezza la matrice degli attacchi, è più facile analizzare le modalità di attacco: “Tra le armi informatiche più utilizzate in questo contesto, gruppi politicamente motivati come Killnet e NoName05, il Distributed Denial of Service (l’attacco DDoS, ndr) è generalmente quella più utilizzata: è un tentativo ostile di attacco proveniente da più fonti che sovraccarica i server dell’organizzazione e blocca il traffico di rete. Una modalità generalmente adottata dalle APT per finalità di cyberspionaggio o dalle RaaS gang prevede lo sfruttamento di vulnerabilità non ancora documentate nei prodotti tecnologici dei vendor utilizzati dall’organizzazione vittima – i cosiddetti zero day, o comunque vulnerabilità documentate ma il cui aggiornamento di sicurezza non sia stato applicato dall’organizzazione vittima”.

Inoltre, questi gruppi (APT e RaaS gang) tendono anche ad acquistare nel dark web, per un costo che oscilla da 5.000 a 10.000 dollari, credenziali di accesso a sistemi critici di una data organizzazione messe in vendita dai cosiddetti Initial Access Brokers (IABs). “Dopo l’ingresso nei sistemi della vittima sopra descritti, questi gruppi hacker rilasciano dei malware nei sistemi informatici che hanno lo scopo di esfiltrare dati confidenziali e altamente strategici, e nel caso delle RaaS gang, è previsto il rilascio del ransomware”, illustra Corradini.

Gli schemi più ricorrenti a cui prestare attenzione

In ogni attacco c’è sempre un “entry point”, ovvero un punto di accesso al sistema preso di mira: questo può essere lo sfruttamento di una vulnerabilità, “l’esposizione al pubblico di server non correttamente protetti, le falle nei firewall che proteggono il perimetro cibernetico dell’organizzazione e lo sfruttamento dell’errore umano, tramite per esempio il social engineering e le email di phishing. È difficile trovare punti deboli in questo tipo di attacchi”, conclude Corradini.

Insomma, dietro a un attacco ransomware il carico di rischio e di competenze è sempre elevato. Senza dimenticare che gestire al meglio i tempi di reazione nel tentativo di ridurre quanto più possibile le perdite è l’azione fondamentale da intraprendere. Magari senza compromettere segreti industriali e di stato.