Chi sono gli hacker russi e filo palestinesi che attaccano i siti italiani

Recentemente, altre offensive informatiche sono state ricondotte al medesimo gruppo, come quella del 30 dicembre 2024 contro i siti degli aeroporti milanesi di Malpensa e Linate e il sito del ministero degli Esteri. Gli attacchi DDoS (Distributed Denial of Service) sono una delle minacce più comuni per i siti web, server e altre infrastrutture online: essi cercano di saturare i server di destinazione con un gran numero di richieste di traffico, impedendo agli utenti di accedere alle risorse online. I DDoS possono essere eseguiti con modalità diverse, tra le più comuni, il “TCP SYN flood”, il “UDP flood”, il “HTTP flood”, l’”ICMP flood”. Distinguere le diverse tecniche di attacco DDoS è essenziale per adottare misure di sicurezza adeguate, mitigare gli effetti di questi attacchi e proteggere le infrastrutture online.

Alla base degli attacchi rivendicati dai gruppi Alixsec e Noname057 c'è un'attività di hacktivismo cibernetico, ovvero un movimento che si serve di tecniche di hacking informatico per promuovere messaggi politici o sociali. Non è possibile escludere legami tra questi gruppi e i governi dei paesi di riferimento, ma l'obiettivo è quasi sempre quello di creare problemi o fastidi per generare un impatto sociale o politico. Mettendo in pratica attacchi DDoS, generalmente questi gruppi non rubano dati, non intaccano infrastrutture strategiche e non danneggiano i siti istituzionali. Il più grande risultato per questi attivisti è portare a casa un trofeo da esibire: dopo ogni ondata di attacchi, infatti, vengono regolarmente pubblicati sui gruppi Telegram messaggi autocelebrativi e nuove minacce, come accaduto ieri.

Alixsec rappresenta sostanzialmente un gruppo di hacker che ha messo nel mirino gli interessi israeliani e che ha ingaggiato una cyber-guerra contro Tel Aviv. Sostiene inoltre la causa russa e proprio per questo ha legami con il gruppo NoName057, che a marzo 2022 ha dichiarato il suo supporto alla Federazione Russa e che ha guadagnato popolarità durante una serie di massicci attacchi DDoS sui siti web lituani.

Le tecniche solitamente utilizzate da questi gruppi sono varie, ma quella dello “Slow HTTP Attack” è di certo prediletta, poiché come spiega il sito specializzato Red Hot Cyber "l’attaccante invia molte richieste Http incomplete al server bersaglio, con lo scopo di tenere occupate le connessioni al server per un periodo prolungato e impedire l’accesso ai legittimi utenti del sito". Questa modalità è particolarmente difficile da rilevare e mitigare perché le richieste sembrano legittime ma hanno bisogno di un tempo molto lungo per essere elaborate dal server.

NoName057 nasce a marzo 2022, dopo l'altra rete russa Killnet, un collettivo di hacker responsabili per gli attacchi al governo rumeno del maggio 2022 e all’Eurovision del medesimo anno durante l’esibizione dell’Ucraina. NoName057 ha reso evidente i motivi politici dei suoi attacchi colpendo a più riprese Lituania, Lettonia ed Estonia, i paesi più esposti alle minacce russe e per questo i più attivi sostenitori dell'Ucraina. Il gruppo ha attaccato anche l'Italia in diverse occasioni tra fine 2022 e inizio 2023, confermando anche in un'intervista la matrice politica dell'aggressione, legata al sostegno militare di Roma a Kyiv.