A partire dal mese di marzo 2022, NoName057(16) è stato uno dei collettivi più attivi nel colpire aziende e istituzioni occidentali con attacchi DDoS promossi da cyber miliziani volontari che supportano la Russia.
L’Italia è stato uno dei paesi più colpiti e molte delle sue banche, istituzioni, infrastrutture militari e pubbliche amministrazioni hanno subito attacchi informatici ripetuti nel tempo: Carabinieri, Consiglio Superiore della Magistratura, Esercito, Aeroporti, e Trasporti pubblici sono solo alcuni dei bersagli del collettivo.
L’azienda Be42Late ha reso pubblico una dashboard dove monitorare le attività offensive in corso da parte del collettivo filorusso, ora disponibile per la comunità dei ricercatori di sicurezza e delle aziende nazionali.
Primi veri disservizi in Italia dagli attacchi dei filo russi NoName
Indice degli argomenti
Il profilo del collettivo filorusso NoName057
NoName057 è classificato come un collettivo cyber motivato dal hacktivismo pro-russo. Rappresenta una sorta di milizia cyber moderna che opera principalmente per supportare la propaganda di stato e, potenzialmente, anche altre operazioni sponsorizzate dalla Federazione russa.
Anche noto come NoName05716, Nnm05716 o 05716nnm, il modus operandi di alto livello dell’attore della minaccia somiglia a quello che il gruppo KillNet ha messo in piedi dall’inizio dell’operazione speciale russa: ovvero abuso delle risorse computazionali altrui per dirigere attacchi di Denial of Service ai danni di organizzazioni occidentali e campagne di comunicazione per diffondere le loro imprese attraverso i canali social.
La componente mediatica di questo modus operandi è ancora più importante per NoName057(16) rispetto a KillNet a causa di una significativa differenza negli approcci metodologici dei gruppi: NoName057(16) si basa pesantemente sul contributo dei volontari per alimentare le sue operazioni offensive. Anche KillNet si basa su cyber partigiani volontari, ma la sua struttura include anche sottogruppi dedicati che sfruttano infrastrutture di botnet IoT come Mirai.
DDosia: la “piattaforma” per attacchi DDoS
In passato, NoName057(16) ha sfruttato anch’essa delle botnet: il 22 settembre 2022, ad esempio, Avast ha collegato l’infezione Bobik RAT al collettivo NoName a causa dell’inoculazione di un modulo di seconda fase progettato per condurre attacchi DDoS, ma le operazioni del collettivo sono molto più concentrate sui volontari e si basano su di una particolare piattaforma di Distributed Denial of Service chiamata DDosia.
DDosia è un programma complesso progettato per consentire ai volontari di condurre attacchi DDoS contro i bersagli prescelti da NoName057 e utilizza uno stresser basato sul linguaggio Go compilato per diversi sistemi operativi: da Linux, Mac e Windows, finanche alle architetture ARM.
Attacchi state-sponsored: cosa sono e come contrastarli migliorando le capacità di cyber difesa
Una dashboard per anticipare le mosse di NoName057
Per fortuna, come dicevamo, la dashboard messa a punto da Be42Late rende ora possibile monitorare le operazioni di attacco comandate dal collettivo filorusso. Ogni giorno vengono tracciati i bersagli degli attacchi del collettivo, riportati annunci e statistiche riguardo alle loro operazioni, ma non finisce qui.
Il “cruscotto” permette anche di registrare fino a tre domini aziendali al fine di ricevere notifiche di allerta nel caso in cui il collettivo prenda di mira gli asset aziendali.
Un estratto dalla dashboard di Be42Late.
Le tipologie di attacco di NoName057
Oltre alla possibilità di intercettare e anticipare gli attacchi degli hacktivisti filorussi, la dashboard funge anche da sistema di tracciamento storico aperto ai ricercatori.
Le analisi tecniche condotte sui dati raccolti durante le recenti operazioni di attacco mostrano che il collettivo NoName057(16) si affida fortemente agli attacchi L7: circa il 46,9% degli attacchi è stato condotto utilizzando la modalità “http”, la classica generazione di richieste GET/POST.
Noname057 utilizza una particolare modalità di attacco HTTP con personalizzazione avanzata e supporto per la randomizzazione delle richieste. Infatti, i bot di attacco del collettivo ricevono modelli di richiesta HTTP da integrare con variabili casuali per nascondere meglio il traffico DDoS in quello legittimo.
Nonostante ciò, quasi l’altra metà delle loro operazioni di attacco coinvolge tecniche DDoS L4: infatti, la classica tecnica TCP-SYN flooding è utilizzata nel 39,7% degli attacchi.
Meno frequentemente, ma costantemente, NoName057(16) ha sfruttato anche la modalità di attacco slowloris “nginx_loris”, in circa il 13% dei tentativi.
L’utilizzo del protocollo HTTP2 è al momento ancora marginale: i dati raccolti mostrano un utilizzo trascurabile del modulo “http2” in circa lo 0,04% degli attacchi.
Le analisi sulla distribuzione dei servizi target mostrano, invece, che i servizi web crittografati sono tra i bersagli preferiti del collettivo con oltre il 69,4% degli attacchi diretti alla porta di rete TLS/443, seguiti da quelli non crittografati con il 14,6% sia per http/80 sia per http/8080.
Sorprendentemente, i servizi basati su http non sono l’unico obiettivo delle operazioni di attacco di NoName057(16), prendono di mira anche i servizi di amministrazione SSH sulla porta TCP/22 (1,6%), i servizi di trasferimento file sulla porta FTP/21 (1,6%) e i servizi crittografati servizi di posta elettronica su porta IMAPS/993 e POP3S/995 (2,5%). Tali tipi di servizi sono in genere meno protetti dal traffico e dagli attacchi di bot dannosi rispetto alla controparte Web.
