(Adnkronos) – Chi sono gli hacker di Killnet che in queste ore stanno attaccando i siti istituzionali italiani? “Sono un collettivo di hacker separati, stando a quello che dicono loro, da qualsiasi istituzione russa, quindi mossi da intenti politici. Un gruppo di attivisti, nato originariamente per ragioni di business che dopo l’invasione russa dell’Ucraina si è schierato apertamente con Mosca e intorno alla fine di aprile è uscito dal mercato e ha chiamato a raccolta altri volontari che fossero disposti ad attaccare istituzioni di Stati occidentali”. A spiegarlo all’Adnkronos è Emanuele De Lucia, esperto di cyber intelligence che da mesi monitora le attività degli hacker filorussi.

“Sono degli anti-Anonymous, un collettivo contrapposto dal punto di vista dello schieramento ideologico ma che con Anonymous ha tratti molto comuni come appunto le campagne di reclutamento volte ad un unico obiettivo”. A far parte di Killnet sono “tra i mille e i 1.500 attivisti operativi stimati” che “a partire dalla metà di aprile hanno collezionato una lunga serie di attacchi soprattutto contro diverse istituzioni governative, soprattutto ucraine ma anche romene, cecoslovacche, ecc. E poi hanno iniziato a rivolgere l’attenzione anche verso il parco infrastrutture italiano”.

La maggior parte dei membri di Killnet è di origine russa e uzbeka ma noi stiamo osservando all’interno di questo gruppo, del loro canale Telegram soprattutto, anche persone che potrebbero essere ricondotte a identità italiane, non è detto che queste persone prendano parte all’attacco vero e proprio ma sembrano supportare le azioni del gruppo anche suggerendo in alcuni casi dei potenziali obiettivi da colpire”.

I loro attacchi partono da diverse nazioni. “Le richieste che arrivano ai server bersaglio infatti – chiarisce De Lucia – non sono localizzate in una regione geografica specifica, ci sono ovviamente server localizzati in Russia e Bielorussia ma altri addirittura in Ucraina stessa o in Germania, in Inghilterra, negli Stati Uniti. Questo perché – chiarisce l’esperto – il gruppo compromette risorse di altri Paesi e a loro insaputa fa sì che entrino a far parte della loro Dosnet”.

Attacchi che per ora non provocano grossi danni. “Sono più che altro azioni dimostrative – spiega De Lucia – Loro attaccano fondamentalmente attraverso attacchi finalizzati alla negazione di servizio verso infrastrutture nazionali, ovvero banalmente impedendo che il servizio resti disponibile per la normale utenza. Di fatto fanno crollare i siti web ma alla fine dell’attacco il sito torna disponibile e non subisce particolari danni con esfiltrazione dati o altri danni più gravi. Però forniscono un grosso danno di immagine perché hanno una grande eco perché sono visibili da chiunque”. Tuttavia i pirati di Killnet potrebbero alzare il tiro. “Secondo la nostra analisi – avverte l’esperto – stanno già provando ad accedere a siti web, non con un attacco Ddos ma provando a compromettere l’integrità dei sistemi. Non sappiamo se ci riusciranno o meno, per ora gli effetti si limitano alla saturazione del traffico”.

Ma come possiamo difenderci? “Generalmente le contromisure da attuare verso queste tipologie di attacchi sono diverse, normalmente è l’internet service provider che si occupa della mitigazione di questa tipologia di attacchi. Il problema vero è che sono molto estesi e potenti. Killnet ha una Dosnet molto estesa e quindi è difficile da mitigare. E gli attaccanti utilizzano tecniche in grado di superare anche le più avanzate difese verso questa tipologia di attacchi. La difesa non è facile perché l’attacco è costituito da una grandissima quantità di richieste per secondo e discernere quelle lecite da quelle malevole è molto molto complesso. Mentre – conclude De Lucia – siamo più preparati a difenderci da un attacco ‘classico’, più orientato all’ingresso non autorizzato all’interno di un sistema”.

di Lavinia Gerardis