Chi sono gli hacker russi e filo palestinesi che attaccano i siti italiani

Una nuova ondata di attacchi hacker ieri ha colpito diversi siti di porti e banche in Italia. A rivendicarli è stato Alixsec, un gruppo filo palestinese, che su Telegram ha fatto sapere di aver agito in un’azione coordinata con il gruppo filorusso NoName057 e ha pubblicato i risultati dell'aggressione informatica. Pochi giorni prima un altro attacco ha mandato in tilt i siti di alcuni ministeri. Come ha detto su Telegram NoName057, l’Italia è stata colpita per il sostegno espresso dalla premier Giorgia Meloni al presidente ucraino Volodymyr Zelensky durante l'incontro avvenuto giovedì a Palazzo Chigi: “L’Italia dovrebbe iniziare ad aiutare sé stessa e, prima di tutto, la propria sicurezza informatica”, hanno scritto gli hacker di NoName057. L’agenzia per la Cybersicurezza Nazionale (Acn) ha subito avvisato i target e supportato le attività di ripristino degli obiettivi colpiti e tutti i siti sono ritornati online.

Recentemente, altre offensive informatiche sono state ricondotte al medesimo gruppo, come quella del 30 dicembre 2024 contro i siti degli aeroporti milanesi di Malpensa e Linate e il sito del ministero degli Esteri. Gli attacchi DDoS (Distributed Denial of Service) sono una delle minacce più comuni per i siti web, server e altre infrastrutture online: essi cercano di saturare i server di destinazione con un gran numero di richieste di traffico, impedendo agli utenti di accedere alle risorse online. I DDoS possono essere eseguiti con modalità diverse, tra le più comuni, il “TCP SYN flood”, il “UDP flood”, il “HTTP flood”, l’”ICMP flood”. Distinguere le diverse tecniche di attacco DDoS è essenziale per adottare misure di sicurezza adeguate, mitigare gli effetti di questi attacchi e proteggere le infrastrutture online.

Alla base degli attacchi rivendicati dai gruppi Alixsec e Noname057 c'è un'attività di hacktivismo cibernetico, ovvero un movimento che si serve di tecniche di hacking informatico per promuovere messaggi politici o sociali. Non è possibile escludere legami tra questi gruppi e i governi dei paesi di riferimento, ma l'obiettivo è quasi sempre quello di creare problemi o fastidi per generare un impatto sociale o politico. Mettendo in pratica attacchi DDoS, generalmente questi gruppi non rubano dati, non intaccano infrastrutture strategiche e non danneggiano i siti istituzionali. Il più grande risultato per questi attivisti è portare a casa un trofeo da esibire: dopo ogni ondata di attacchi, infatti, vengono regolarmente pubblicati sui gruppi Telegram messaggi autocelebrativi e nuove minacce, come accaduto ieri. 

Alixsec rappresenta sostanzialmente un gruppo di hacker che ha messo nel mirino gli interessi israeliani e che ha ingaggiato una cyber-guerra contro Tel Aviv. Sostiene inoltre la causa russa e proprio per questo ha legami con il gruppo NoName057, che a marzo 2022 ha dichiarato il suo supporto alla Federazione Russa e che ha guadagnato popolarità durante una serie di massicci attacchi DDoS sui siti web lituani.

Le tecniche solitamente utilizzate da questi gruppi sono varie, ma quella dello “Slow HTTP Attack” è di certo prediletta, poiché come spiega il sito specializzato Red Hot Cyber "l’attaccante invia molte richieste Http incomplete al server bersaglio, con lo scopo di tenere occupate le connessioni al server per un periodo prolungato e impedire l’accesso ai legittimi utenti del sito". Questa modalità è particolarmente difficile da rilevare e mitigare perché le richieste sembrano legittime ma hanno bisogno di un tempo molto lungo per essere elaborate dal server.

NoName057 nasce a marzo 2022, dopo l'altra rete russa Killnet, un collettivo di hacker responsabili per gli attacchi al governo rumeno del maggio 2022 e all’Eurovision del medesimo anno durante l’esibizione dell’Ucraina. NoName057 ha reso evidente i motivi politici dei suoi attacchi colpendo a più riprese Lituania, Lettonia ed Estonia, i paesi più esposti alle minacce russe e per questo i più attivi sostenitori dell'Ucraina. Il gruppo ha attaccato anche l'Italia in diverse occasioni tra fine 2022 e inizio 2023, confermando anche in un'intervista la matrice politica dell'aggressione, legata al sostegno militare di Roma a Kyiv. 

L’hacktivismo cibernetico ha una storia lunga e complessa che risale agli anni 80. Uno dei primi gruppi a utilizzare le tecniche di hacking per fini politici è stato il Caos Computer Club (Ccc), fondato in Germania nel 1981. I suoi membri si definivano come un gruppo di hacker “etici” e utilizzavano le proprie abilità informatiche per promuovere principi come libertà di espressione e diritto alla privacy. È in questo passaggio una delle differenze tra hacktivismo cibernetico e cybercrime: mentre il primo ingaggia una battaglia politica su questioni ritenute importanti, che hanno comunque conseguenze legali, il secondo consiste nella pratica di utilizzare le tecniche di hacking per scopi illeciti come il furto di dati personali o finanziari. L'escalation di attacchi informatici che si è registrata in questi anni è in parte legata anche alle nuove guerre in corso in Ucraina e in medio oriente, e dimostra come l’hacktivismo sia ancora utilizzato anche per scopi politici o sociali.