Dentro la rete di Killnet. Come si muovono gli hacker russi che vogliono attaccare l’Italia

Una struttura organizzata e target precisi. Ecco cosa si muove nelle chat del collettivo hacker che nelle ultime settimane è entrato in guerra contro l’Occidente

«Un colpo irreparabile all’Italia». È questo uno degli ultimi messaggi pubblicati dagli amministratori di We Are Killnet, canale Telegram al centro della rete di hacker che nelle ultime settimane ha scatenato una lunga serie di attacchi in diversi Paesi. Il messaggio è stato preso seriamente anche dall’Agenzia per la Cybersicurezza Nazionale: «Continuano a rilevarsi segnali e minacce di possibili attacchi imminenti ai danni, in particolare, di soggetti nazionali pubblici, soggetti privati che erogano un servizio di pubblica utilità o soggetti privati la cui immagine si identifica con il paese Italia». Fino a questo momento, Killnet ha già dichiarato guerra ad Anonymous, oscurato il sito del Senato italiano, quello del governo polacco e reso inaccessibili per diverse ore anche i portali dei principali aeroporti della Lombardia. Questi attacchi hanno in comune due fattori: tutti sono stati fatti contro bersagli che si sono opposti all’avanzata della Russia in Ucraina e tutti sono stati di tipo Ddos. Oltre a questi due elementi, però, si conosce ancora poco sulle origini e sugli obiettivi di Killnet. Ma tra le pieghe della rete qualche informazione si riesce a trovare.


Il megafono del collettivo

Al centro di tutta la rete c’è We Are Killnet. È il canale Telegram più grande, con oltre 80 mila utenti iscritti. È qui che parte la propaganda. Su questo canale vengono diffusi in inglese e in russo i messaggi relativi alle campagne, le dichiarazioni contro Paesi o altri gruppi hacker, e vengono ripresi anche gli articoli o i lanci di telegiornale che parlano degli hacker. Non si parla solo di attacchi informatici. Il tono è quello delle propaganda russa. Vengono anche pubblicate vignette, meme e fotomontaggi contro i leader europei, da Mario Draghi al primo ministro polacco Mateusz Morawiecki.


WE ARE KILLNET | Un fotomontaggio con il volto del primo ministro polacco Mateusz Morawiecki

Ogni tanto compaiono video in cui c’è un uomo che parla. Esattamente come Anonymous, pure qui il volto è coperto da una maschera, simile a quella utilizzata dai carcerieri di Squid Game. Il 23 maggio sul gruppo è stata pubblicata l’intervista rilasciata al media controllato dal Cremlino Russia Today a un uomo con questa maschera che si presenta come un portavoce di Killnet. L’uomo con la maschera dice:

«Noi siamo normali cittadini russi che hanno deciso di difendere il loro Paese. La Russia è sempre stata odiata: prima con l’impero zarista e poi con l’Unione sovietica. La cyberwar è cominciata prima dell’Operazione Speciale in Ucraina. Vogliamo mostrare al mondo cosa sta succedendo davvero in Ucraina. Gli Stati Uniti vogliono trascinare ancora altri Paesi in questa guerra».

Le sezioni operative

Su We Are Killnet c’è la propaganda, ci sono i comunicati ufficiali e i manifesti. La parte operativa delle operazione è affidata però a un canale più piccolo, quasi parallelo. Il canale Legion con i suoi oltre 7 mila follower è il braccio operativo. Qui le istruzioni per gli attacchi si fanno più precise, come abbiamo potuto monitorare con quelli rivolti verso l’Italia. Vengono pubblicati gli obiettivi, vengono spiegati gli orari e la modalità di attacco e poi viene dato ufficialmente il via libera quando gli amministratori decidono di procedere. Non solo. Da qui vengono diffusi anche gli annunci per reclutare attivisti in squadre più piccole.

TELEGRAM | Mirai è una delle squadre di hacker che lavorano con Killnet

Secondo il portale CyberKnow, dal canale Legion vengono regolarmente diffusi gli accessi verso quelli che sembrano gruppi più piccoli: Impulse, Mirai, Jacky, Zarya o Rayd. Ogni gruppo spiega di quali figure ha bisogno, dai programmatori esperti in grado di ricostruire la struttura di un malware a chi invece è in grado di organizzare attacchi Ddos. Passando da alcuni dei contatti che vengono pubblicati sul canale è possibile trovare tutorial per queste azioni e percorsi per acquistare reti di bot in grado di scatenarle. La maggior parte dei gruppi Telegram sono aperti al pubblico, un scelta che lascia intendere una strategia di comunicazione: il vero obiettivo, al momento, sembra essere quello di far parlare di sé.

I rischi degli attacchi Ddos

Una delle minacce fatte da Killnet che hanno avuto più risonanza è quella di bloccare il voto all’Eurovision Song Contest. L’obiettivo iniziale era quello di sommergere di richieste diversi server legati alla gara e impedire l’accesso fino alla mattina successiva. Non è successo nulla di tutto questo ma alcuni di questi attacchi sono stati effettivamente registrati. A confermalo è Corrado Giustozzi, docente universitario di cybersecurity incaricato dalla Rai per controllare tutta l’area digitale attorno all’Eurovision: «Sì, ci sono stati un po’ di attacchi Ddos, soprattutto nei giorni precedenti la finale. Non è stata coinvolta solo la Rai ma anche altri portali legati all’Eurovision, come quelli dell’Ebu o quelli di aziende straniere che hanno lavorato all’evento».

Corrado Giustozzi, l’esperto di cybersecurity chiamato dalla Rai per monitorare l’Eurovision

Questi attacchi sono pericolosi solo quando bloccano un servizio essenziale: «L’attacco Ddos non è un attacco sofisticato. Si sovraccarica di richieste un server fino a che non questo non riesce più a soddisfarle tutte e quindi questo smette di fornire servizi. Non serve una grande abilità per farlo. Per otto dollari all’ora si noleggiano attacchi da 100 Gigabit». Finito l’attacco, i sistemi informatici riprendono a lavorare: «L’attacco Ddos non lascia altre tracce nei sistemi che attacca. Non è una compromissione, c’è solo un numero esorbitante di richieste di per sé legittime. Il server quindi a un certo punto collassa e chiude».

Ad essere interessante è l’origine di questi attacchi. Spesso infatti arrivano da dispositivi che sono stati infettati da malware e che quindi poi possono essere guidati dall’esterno. Questi dispositivi non devono essere per forza pc o smartphone, basta che la macchina compromessa abbia la possibilità di accedere a internet, come le videocamere di sorveglianza: «In queste reti di bot – spiega Giustozzi – ci sono quasi sempre macchine compromesse o sistemi IoT compromessi, possono essere anche dei router. Ci sono molti router che sono vulnerabili e si possono comandare da remoto in modo che siano loro a fare questi attacchi. Oltre alle macchine poi esistono software che sfruttano protocolli per aumentare la portata dell’attacco».

Leggi anche: