Gli hacktivisti filorussi: fronte comune, ma non troppo

Nel conflitto cyber con l’Ucraina, la Russia, oltre a disporre di gruppi strutturati controllati direttamente dall’intelligence e altri organismi governativi, è sostenuta da una vasta platea di avversari hacktivisti. Si tratta di un fronte magmatico, composto da realtà che, pur avendo un orientamento comune dichiaratamente filorusso, possono essere di diversa origine, adottano strategie e tecniche di attacco differenti, selezionano autonomamente i propri target e talvolta hanno assunto posizioni contrastanti rispetto a singoli temi.

Fra i maggiori avversari impegnati su questo fronte, spiccano quelli specializzati in offensive DDoS: lo storico KillNet, la cui costituzione è avvenuta poco dopo l’avvio delle operazioni cinetiche nel 2022, Anonymous Russia, legato fortemente a KillNet, e l’attivissimo NoName057(16). Ad essi si possono aggiungere Joker DPR, impegnato in azioni di hack&leak, e il controverso Anonymous Sudan.

Quest’ultimo, che a giugno 2023 aveva annunciato insieme a KillNet un’offensiva DDoS globale contro il sistema finanziario, peraltro mai verificatasi con l’intensità annunciata, lo scorso dicembre ha segnalato attacchi dimostrativi contro i portali dell’agenzia europea per la cybersecurity ENISA e del CERT-EU.

Nelle ultime quattro settimane, sia NoName057(16) che Anonymous Russia hanno rivendicato, indipendentemente l’uno dall’altro e con tempistiche diverse, DDoS contro numerosi target italiani. Il primo ha colpito alcune autorità portuali, l’Agenzia delle Dogane e dei Monopoli, ASSOSISM, CONSOB e diversi operatori dei trasporti locali. L’altro ha preso di mira numerosi aeroporti e banche. L’11 gennaio, due giorni dopo aver segnalato anche un’offensiva contro il Quirinale, Anonymous Russia ha annunciato di essere stato costretto a interrompere gli attacchi in corso, a causa di un blocco delle proprie apparecchiature, e ha avviato una raccolta fondi per finanziare l’acquisto di nuovi server. 

Le campagne di NoName057(16) e Anonymous Russia non sembra siano mai state correlate e non risulterebbe alcun caso di collaborazione fra i due gruppi. Anzi, un tema eclatante li ha visti assumere posizioni contrastanti, vale a dire la vicenda del gruppo paramilitare privato Wagner.

I fatti sono noti. A giugno 2023, la Wagner aveva tentato un ammutinamento. Guidata in prima persona dal suo fondatore Evgenij Prigožin, aveva marciato sulla città di Rostov sul Don, con l’intenzione di raggiungere poi Mosca. L’operazione, che non ha causato vittime, né danni materiali, è fallita e Prigožin ha preso la via dell’esilio in Bielorussia. Il 23 agosto, Prigožin è morto insieme ad altri vertici della Wagner in un incidente occorso durante un volo fra Mosca e San Pietroburgo.

A poche ore di distanza dall’annuncio del disastro aereo, KillNet e Anonymous Russia hanno simbolicamente e significativamente cambiato la propria immagine profilo nei social, utilizzando lo stemma del gruppo paramilitare. Diverso è stato l’atteggiamento di NoName057(16) che, due mesi prima, aveva messo nel mirino proprio i portali della Wagner.

Un altro episodio dal quale si può evincere un diverso schieramento dei maggiori gruppi hacktivisti risale a settembre 2023. Allora, NoName057(16) si è associato ad un nutrito gruppo di avversari che manifestavano l’intento di sferrare una serie di “attacchi collaborativi” ai danni dei Paesi vicini alle istanze di Kiev e a sostegno delle Forze Armate russe nella zona NVO.

La NVO, o Nuova Russia, è il nome dato dai separatisti filorussi alla federazione delle autocostituite Repubbliche di Lugansk e Donetsk. Proclamata attraverso un referendum il 24 maggio 2014, nel corso della guerra del Donbass, la federazione è stata sospesa il 20 maggio 2015.

Il lungo elenco dei partecipanti comprendeva KillNet, Joker DPR, Beregini, RaHDIt, Zarya, un gruppo che si firma Wagner, XakNet Team, Black Wolfs, BEAR.IT.ARMY, Voskhod, People’s CyberArmy, Patriot Black Matrix, DEADFOUD, Voskhod, Xecatsha e BEARSPAW. Ma non era presente Anonymous Russia, nonostante i forti legami con KillNet.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.