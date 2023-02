L’attacco hacker è ormai sempre più frequente. Un nuovo tentativo di danneggiamento ha colpito diversi siti istituzionali e aziendali italiani. Stavolta, tuttavia, gli esperti spiegano che si è trattato più di un atto “dimostrativo”, che si è riuscito quindi quasi a risolvere attualmente. Fatto più per allarmare e impensierire.

Gli attacchi fanno capo a un collettivo hacker non russo ma riconducibile ad ambienti filo-putiniani denominato NoName057 e che comunica anche attraverso un proprio canale Telegram, a cui risultano iscritti oltre 28mila utenti. L’atto è stato rivendicato proprio da questo soggetto. NoName057 è un gruppo di agitatori che sostengono la Russia, emerso nel marzo 2022 dopo l’attacco all’Ucraina. Nel corso degli ultimi 12 mesi si è attribuito la paternità di diverse azioni contro Ucraina, Stati Uniti e nazioni europee.

L’offensiva contro i siti italiani è partita nella giornata di martedì 21 febbraio, contestualmente alla visita della presidente Giorgia Meloni in Ucraina. In uno dei messaggi il collettivo cita esplicitamente il sesto pacchetto di aiuti militari che includerà tre tipi di sistemi di difesa aerea compresi i sistemi anticarro SAMP-T.

Il primo sito italiano colpito è stato quello del ministero della Difesa. Gli hacker hanno scritto: «Dopo la colazione con i croissant francesi siamo andati a mangiare la pizza italiana. Abbiamo chiuso il sito web del Ministero della Difesa italiano» (i “croissant” vengono citati perché poco prima erano stati attaccati alcuni siti francesi). Poi è stato coinvolto il sito dei Carabinieri, quello di Bper Banca, del ministero degli Esteri, oltre al Viminale per la Carta d’identità. E ancora il ministero delle Politiche agricole, Tim, A2A Energia. Alcuni di questi hanno resistito, altri sono andati offline per un certo periodo prima di tornare accessibili, altri almeno fino a ieri non raggiungibili.

I dettagli tecnici

Il Cyber-attacco di NoName057 viene chiamato DDos, “Distributed Denial of Service”: un’offensiva in cui un gran numero di computer o dispositivi inviano una enorme quantità di traffico verso un sito specifico, con lo scopo di intasarlo e renderlo inaccessibile (o lentissimo). Per fortuna questo era un un sottotipo del DDoS, chiamato «Slow Http Attack». Come spiega il sito specializzato Red Hot Cyber, nell’evento di cui parliamo, l’attaccante invia una richiesta Http con una velocità molto rallentata. La connessione così rimane forzatamente aperta, con il server in attesa della sequenza di caratteri «di chiusura richiesta» del client. Nel protocollo Http (HyperText Transfer Protocol), la richiesta, che può arrivare da un browser o da un motore di ricerca, termina sempre con due caratteri di «newline», ovvero «



». Un segnale che indica il termine della richiesta. Rallentando moltissimo la richiesta, l’hacker induce il server ad attendere il codice «



» all’infinito. In questo modo il server deve tenere attive molte connessione nello stesso tempo e le sue risorse vengono saturate. Gli utenti che cercano di collegarsi non riescono così a trovare soddisfazione alle loro richieste di accesso.