Killnet sta diventando un nome particolarmente celebre alle cronache, in particolar modo quelle che si occupano nello specifico di cybersicurezza. L’ultima azione degna di nota del giovane ed agguerritissimo gruppo hacktivist russo è stato l’attacco DDoS condotto ai danni della Polizia di Stato italiana. Nulla di irrimediabile, visto che nel momento in cui scriviamo le forze dell’ordine dovrebbero aver ripristinato in buona parte le funzionalità del proprio portale pubblico. Ma rimane lo smacco di un attacco piuttosto mortificante, sia nell’origine che negli effetti che ne sono scaturiti.
La ragione scatenante, secondo la rivendicazione diffusa da Killnet, sarebbe stata il fatto che la Polizia, attraverso i canali social, si sarebbe “vantata” di aver fermato un attacco nei confronti del sistema di voto di Eurovision, atto a boicottare la maggioranza che ha assicurato il successo del favoritissimo concorrente ucraino Kalush Orchestra. Il tutto mentre la Russia, dopo le note vicende di guerra, è stata espulsa dall’elenco delle nazioni partecipanti all’edizione 2022 della più popolare competizione canora europea, appena conclusasi a Torino.
In sintesi, il messaggio della rivendicazione pubblicata da Killnet su Telegram era del tipo: “Se non siete capaci a fermare un DDoS, come potete sperare di impedirci di attaccare Eurovision?”, escludendo di fatto che il presunto tentativo di attacco fosse opera loro. Prima di prendersela con il sito web della Polizia di Stato, Killnet aveva condotto altri attacchi DDoS contro una serie di siti istituzionali italiani, promettendo di proseguire le proprie attività.
Secondo il collettivo russo, finora si sarebbe trattato soltanto di esercitazioni, per rodare un’offensiva su scala globale contro l’Ucraina e i paesi NATO più attivi nel sostenere le attività del governo presieduto da Zelensky. Tra questi rientra anche l’Italia.
Il nemico giurato di Anonymous paralizza le istituzioni italiane con attacchi DDoS (Distributed Denial of Service)
La popolarità di Killnet è nata con il conflitto russo-ucraino, quando il collettivo filo-russo ha intrapreso un’azione avversaria nei confronti di Anonymous, che aveva nel frattempo iniziato a colpire i siti istituzionali del Cremlino e dell’alleato bielorusso, che ha dovuto ad esempio subire anche un’azione di sabotaggio alla propria rete ferroviaria nazionale.
L’Italia era rimasta inizialmente ai margini della guerra cybernetica, ma nella giornata di mercoledì 11 una serie di siti istituzionali sono stati messi fuori uso da una serie di DDoS. Tra questi figurano i siti internet del Ministero della Difesa, del Senato, dell’Istituto Superiore di Sanità (ISS), dell’Automobile Club Italia (ACI), la Scuola IMT di Studi Superiori di Lucca, Infomedix International e Kompass.
Il DDoS (Distributed Denial of Service) è un attacco che consiste nell’invio di un’elevata quantità di richieste, in grado di saturare le risorse dei web server vittima, impedendogli di erogare anche i servizi per cui sono stati originariamente predisposti. La dimostrazione pratica di questo aspetto è data dal fatto che se provassimo a connetterci ad un sito colpito da un DDoS, come quello della Polizia di Stato nelle ore in cui scriviamo questo articolo, questi non riuscirà a rispondere con successo alla richiesta del nostro browser, fino al timeout della stessa.
Una comunicazione rilasciata dal CSIRT nazionale ha precisato che l’attacco subito dai siti governativi è un DDoS definito Slow Http. A differenza dei più comuni attacchi volumetrici, che operano per saturazione di banda, questa tipologia di attacchi mira direttamente a saturare le risorse dell’application server che si intende bloccare, in modo da impedirgli di erogare i suoi servizi. Si tratterebbe pertanto di una forma più raffinata, che necessita in ogni caso di una botnet dotata di un elevato numero di zombie, ossia di macchine controllate da un bot, da cui partono le richieste che danno corpo al DDoS. Secondo alcune stime le botnet a disposizione di Killnet dovrebbero avere a disposizione circa 700mila zombie. Un numero non indifferente, considerando che gli attacchi DDoS in questione sarebbero capaci di aggirare, almeno parzialmente, alcune delle principali tecnologie attive contro questo genere di minacce informatiche.
La botnet utilizzata da Killnet era stata in origine costruita per scopo di lucro, prima di decidere di destinarla all’attivisimo filo-russo. Tale frangente si è facilmente prestato alle accuse di Anonymous, che ha dichiarato come Killnet non agisca per ragioni di carattere etico, ma utilizzi finalità etiche a scopo di lucro, ricevendo laute sponsorizzazioni per sostenere le proprie attività.
Killnet ha colpito Anonymous in più occasioni, che dal canto suo ha spesso e volentieri ricambiato il favore in una vera e propria guerra di hacker su scala globale. Anche Anonymous Italia ha visto il proprio account twitter violato con alcuni messaggi di scherno e si sarebbe vendicato con esfiltrando alcuni dati contenenti le credenziali di accesso di alcuni membri dell’organizzazione russa, rivelando un possibile doppio fine nelle loro attività e promettendo di pubblicarne altri in futuro.
I precedenti attacchi rivendicati da Killnet
L’Italia non è certamente il primo paese membro della NATO ad essere oggetto delle attenzioni dei più popolari cyber-hacktivist attivi sotto la bandiera russa. La prima rivendicazione di Killnet risale al 25 febbraio, con un’azione nei confronti di Anonymous, che nel frattempo aveva preso le parti dell’avversario ucraino nelle sorti del conflitto, conducendo diverse azioni nei confronti delle istituzioni russe e bielorusse, oltre a quelle aziende che ad esempio si sarebbero rivelate molto blande nei confronti dell’embargo economico sul territorio russo, come nel caso della multinazionale Nestlè.
Mentre tra Killnet e Anonymous è in atto un’attività avversaria sul fronte del cyber-hacktivism, l’organizzazione filo-russa ha inoltre condotto sistematici attacchi contro paesi stranieri schierati sul fronte NATO o, più in generale, verso avversari della Russia, come dissidenti e personaggi celebri che hanno lasciato il paese per questioni di opposizione politica nei confronti del Cremlino.
Non si contano ovviamente gli attacchi condotti nei confronti dell’Ucraina, spesso proprio quale reazione diretta ad un’iniziativa di Anonymous nei confronti di un equivalente russo. Quando il gruppo che agisce dietro la celebre maschera di Guy Fawkes ha attaccato l’operatore mobile russo Beeline, Killnet ha replicato in maniera analoga nei confronti dell’ISP ucraino VinFast. Più nello specifico, l’azione è stata condotta da un altro collettivo russo, XakNet, che si è avvalso direttamente della botnet di Killnet.
Oltre alle azioni riconducibili al gruppo principale, Killnet ha infatti attivato una serie di collaborazioni con altri hacktivist filo-russi, in modo da potenziare il proprio range di attacchi. Oltre richiedere donazioni in denaro da parte di chi condivide la sua causa, Killnet ha avviato una vera e propria campagna di recruiting per far aderire alla propria iniziativa varie figure volontarie, con una certa preferenza per gli ethical hacker e gli esperti in attacchi di natura informatica, senza tuttavia trascurare le figure attive nell’ambito del marketing e della comunicazione, fondamentali per sviluppare una concreta azione di propaganda.
Secondo le indicazioni di KillMilk, presunto fondatore dell’organizzazione, attualmente Killnet conterebbe su un gruppo di circa 4500 volontari attivi in tutto il mondo. Data la gioventù del gruppo, si tratta di numeri decisamente importanti.
L’Ucraina è stata colpita sistematicamente, in particolar modo per quanto concerne i siti dell’esercito e di alcuni provider Telco e la stessa sorte è toccata alle confinanti Polonia e Romania, dove è particolarmente intensa l’azione della NATO. Quasi tutte le loro principali istituzioni pubbliche sono state oggetto di attacchi più o meno rilevanti.
La Lettonia è finita nel mirino a stretto giro, dopo l’arresto di un sostenitore del Cremlino, Kirill Fedorov, mentre l’Estonia ne ha fatto le spese in coincidenza dell’avvio di una importante esercitazione internazionale della NATO, ospitata proprio nella capitale Tallinn, il cui aeroporto è stato messo ko insieme a quello di Kardla, insieme ad una serie di importanti siti istituzionali, tra cui quello governativo, delle dogane e dei trasporti, con gravi disservizi nei confronti del sistema ferroviario.
La stessa sorte è capitata alla Repubblica Ceca, dove sono stati fermati gli aeroporti di Brno, Ostrava e Pardubice, oltre a diversi siti istituzionali e, anche in questo caso, diverse risorse riconducibili al sistema ferroviario nazionale.
Per assurdo, l’episodio che ha catalizzato la maggior attenzione mediatica non corrisponde ad un attacco, ma alla minaccia che Killnet ha inoltrato al governo britannico, con la volontà colpire i suoi servizi fondamentali, tra cui quello sanitario. In breve tempo si è diffusa la voce per cui il cyber-hacktivist russo avrebbe disattivato i respiratori degli ospedali, sabotando il loro sistema di controllo. Tale eventualità non ha tuttavia trovato riscontro e KillMilk, nel corso di un’intervista recentemente rilasciata a Lenta.ru ha dichiarato come: “attacchiamo solo coloro che sono i conduttori del male e dell’aggressione, non tocchiamo la popolazione civile”.
Per colpire in maniera così capillare in molte situazioni differenti, Killnet ha strutturato un’organizzazione denominata Legion, organizzata, da quanto si evince dalla comunicazioni che il gruppo rilascia quotidianamente su Telegram, in sei differenti distaccamenti, che hanno il compito di condurre gli attacchi verso determinati paesi avversari della Russia: Mirai, Zarya, Impulse, Jacky, Kaijuk e Sakurajima. In particolare, l’Italia al momento sarebbe oggetto dell’interesse di Mirai, così come la Spagna.
Data la relativa gioventù che ne caratterizza l’attività e l’azione in incognito, di Killnet si conoscono pochi dettagli, al di là degli strumenti con cui opera e della cronologia degli attacchi rivendicati pubblicamente attraverso Telegram. Nel mese di maggio, il leader del gruppo hacktivist filo-russo, KillMilk, ha rilasciato una lunga intervista all’organo di informazione russo Lenta.ru, dal titolo Non avresti dovuto minacciare il mio paese in cui puntualizza una serie di aspetti decisamente curiosi per saperne di più in merito alle motivazioni e al funzionamento dell’organizzazione.
In merito alle origini di Killnet, KillMilk conferma che si tratti di un gruppo originariamente dedito ad attività di natura cybercriminale, convertitosi in un secondo momento ad attività basata su principi di natura prevalentemente etica, aspetto sempre contestato dagli arcirivali di Anonymous, che ritiene che abbiano soltanto cambiato veste: “Siamo apparsi come servizio sul dark web per fornire a tutti la possibilità di organizzare attacchi DDoS. Non abbiamo mai ricevuto ordini dai servizi segreti o dal governo russo. Una cronologia della storia di Killnet è pubblicamente disponibile sul canale Telegram dell’organizzazione, chiunque può leggerla”.
La conversione da attività cybercriminale all’hacktivism potrebbe essere derivata da una fortuna non eccessiva nel primo intento, e per certi aspetti la conferma arriverebbe dallo stesso KillMilk: “Una volta Killnet era solo un business. Quando abbiamo acquisito popolarità in occidente e soprattutto nelle agenzie d’intelligence, i nostri registrar di domini hanno iniziato a essere demoliti. Killnet è stato catalogato come un gruppo di hacker filo-russo. Se registro un nuovo hosting e gli allego il DNS, un minuto dopo il mio nuovo profilo viene bloccato per aver semplicemente menzionato Killnet. Oltre a questo problema, alcuni nostri clienti hanno iniziato a segnalare errori nella botnet. Di conseguenza, abbiamo deciso di cessare l’utilizzo commerciale della nostra botnet e ci siamo concentrati nella lotta contro l’Ucraina e i paesi della NATO. Ora la nostra natura è assolutamente hacktivist, non rubiamo soldi nemmeno ai nostri nemici”.
Molti sospettano che Killnet sia ampiamente sostenuta da hacker provenienti da organizzazioni cybercriminali russe, come REvil, DarkSide, BlackMatter o il celebre Conti, che nel mese di maggio si è ritrovato in capo una taglia da 10 milioni di dollari, a disposizione di chiunque sia in grado di fornire informazioni decisive nella cattura di membri chiave della sua organizzazione. Autore dell’iniziativa: il Governo degli Stati Uniti d’America.
Interrogato in merito, KillMilk sostiene come: “Non so nemmeno io da dove provengano tutti i nostri membri, perché tutti quelli che si uniscono a Killnet sono per noi utili, non ci infastidisce sapere cosa abbiano fatto nella loro vita passata. Personalmente, gli hacker di REvil e DarkSide sono i miei idoli […] Io sono il fondatore di Killnet e gestisco la sua botnet principale e le azioni di hacktivism per cui la utilizziamo. Abbiamo poi molte divisioni autonome, che talvolta si coordinano per ottenere una continuità d’azione”.
In merito alla tipologia di attacchi utilizzati, KillMilk spiega come non si tratti di semplice DDoS: “Al momento abbiamo circa 20 differenti aree di lavoro. Inizialmente facevamo attacchi DDoS e penetration test ma ora stiamo espandendo il nostro arsenale in maniera significativa. In genere il nostro attacco è una risposta ad un tentativo di attacco nei confronti della Russia. Se emerge una chiara minaccia o un insulto, i nostri ragazzi iniziano a scansionare la rete del potenziale nemico. Scoperte le vulnerabilità, possiamo agire con un attacco DDoS o penetrare il sistema della vittima per danneggiarne l’infrastruttura di rete”.
In attesa di conoscere le prossime novità tecnologiche di Killnet, risulta interessante conoscere l’opinione di KillMilk in merito ai rivali di Anonymous: “Ho un profondo rispetto per il team di Anonymous, ma non quello attuale, quello storico, che c’era fino al 2008. I membri attuali sono dei mascalzoni. […] Non abbiamo bisogno di vincere contro di loro, perché si sono già cancellati da soli, con le loro bugie. Nel giro di un anno vedrete come Killnet diventerà la principale associazione di hacktivist al mondo. Perché non vogliamo la morte di nessuno e non balliamo la melodia di qualcun altro”.
Lenta.ru ha chiesto a KillMilk quali fossero gli attacchi più rilevanti tra quelli condotti da Killnet: “Ci sono alcune azioni che non abbiamo rivendicato pubblicamente, come gli hack alla posta elettronica di molti funzionari di alto rango, dump di database di banche, blocco dei dispositivi di centinaia di americani, per non abbiamo mai chiesto un riscatto. Volevamo soltanto divertirci e testare le nostre capacità. Ce la siamo presa soltanto con coloro che hanno costruito le loro ricchezze ingannando le persone”.
Una delle domande chiave è relativa a chi supporti finanziariamente l’azione di Killnet, ben sapendo che un volume di attività di questo genere, che coinvolge migliaia di persone, risulti incredibilmente costosa: “Siamo finanziati da appassionati e patrioti della Russia – spiega KillMilk – ma non abbiamo nulla a che vedere con le autorità di governo. Io stesso sono russo e ho deciso di essere al servizio del mio paese, gli altri membri di Killnet la pensano allo stesso modo. Ci sono molti tentativi di infiltrazione da parte di membri di altri paesi, ma siamo in grado di identificarli facilmente”.
In merito alla darknet russa, KillMilk dimostra di avere le idee piuttosto chiare: “La darknet vede la presenza di professionisti ma anche di molti truffatori. In generale l’intenzione di chi frequenta questi ambienti è quella di ottenere un guadagno economico. Addirittura, alcuni gruppi hanno lasciato la Russia ed oggi si oppongono alla nostra azione, ma credo che l’80% del dark web sia neutrale e non gli interessi assolutamente nulla di ciò che accade al nostro Paese”.
Tutto si può dire, tranne che il mondo dell’hacktivism non sia a suo modo affascinante, con le sue storie, i suoi misteri e le grandi rivalità che lo contraddistinguono all’interno e nella continua sfida contro le istituzioni e i gruppi avversari.