Avversari di Anonymous pronti a colpire: l’allerta è reale e le autorità diramano la segnalazione a tutti gli enti nazionali. Il collettivo hacker filorusso KillNet, avversario del gruppo Anonymous, ha pubblicato sul suo canale Telegram un nuovo avviso di minaccia contro l’Italia e i suoi sistemi informatici specificando con precisione data e orario dell’attacco. L’intervento da poco proclamato non sarebbe neppure il primo visti i recenti episodi verificatisi nel nostro Paese e, secondo l’Agenzia per la Cybersicurezza Nazionale, le possibilità che questo annuncio sia fondato e che il piano vada a buon fine sono elevate. KillNet, prendendosi beffa dei rivali che avevano oscurato il loro sito, in un ulteriore messaggio ironizza infatti sull’impatto effettivo delle proprie imminenti azioni. Ecco quello che sappiamo a riguardo e quali criticità emergono alla luce dei recenti avvenimenti.
KillNet annuncia quando colpirà l’Italia: “30 maggio – 05:00 il punto d’incontro è l’Italia!”. Questo breve e sintetico messaggio è la miccia che ha allertato autorità e società civile. Il collettivo Killnet su Telegram oggi conta 9.211 membri e nella descrizione della sua chat proclama “non evadiamo ordini, non chiediamo denaro. Attenzione, ci sono molti truffatori in giro”. Il riferimento è molto probabilmente indirizzato ai rivali di Anonymous, l’ormai celebre collettivo hacker internazionale, reo di aver reso inaccessibile “killnet.ru”, il sito dello stesso gruppo filorusso. Questo attacco all’Italia sembra infatti motivato dalla volontà di rivalsa, come fosse una rappresaglia volta a riaffermare la propria capacità strategica e organizzativa. Le informazioni divulgate fino a questo momento non sono molte, ma danno modo a enti e organizzazioni nazionali di mettersi al riparo tempestivamente. I precedenti di questo gruppo sono uno dei motivi che hanno spinto il Computer Security Incident Response Team dell’Agenzia per la Cybersicurezza Nazionale a ritenere credibili le minacce del gruppo.
Sul suo sito dell’ente nazionale si legge: “continuano a rilevarsi segnali e minacce di possibili attacchi imminenti ai danni, in particolare, di soggetti nazionali pubblici, soggetti privati che erogano un servizio di pubblica utilità o soggetti privati la cui immagine si identifica con il paese Italia”. Tra le azioni di mitigazione consigliate, il CSIRT Italia, con debiti link ai protocolli nella sezione “Riferimenti”, “raccomanda di implementare con effetto immediato, ove non già provveduto, le azioni suggerite con particolare riguardo alle mitigazioni delle vulnerabilità maggiormente sfruttate da attori malevoli di matrice russa e alle misure di mitigazione degli attacchi di tipo DDoS”. La raccomandazione pone l’accento anche su un “attento controllo sulle infrastrutture IT h24 teso a individuare evidenze di attacchi o comunque anomalie”. Per qualsiasi evenienza si richiede di dare tempestiva comunicazione allo stesso CSIRT. Descrivendo invece il potenziale impatto dell’attacco, l’Agenzia nazionale riferisce che gli attacchi di tipo Ddos possono rendere indisponibili i siti per un certo periodo di tempo, ma non intaccano l’integrità dei sistemi presi di mira. Nonostante l’Italia sia il terzo paese al mondo più colpito da attacchi ransomware, mancano circa 100mila esperti di cyber security.
Fabio Gigante
