Nel contesto dell'hacktivismo cibernetico, le tecniche utilizzate dai gruppi hacker variano in base agli obiettivi e alle strategie perseguite. Tra le più comuni troviamo il defacement e gli attacchi Distributed Denial-of-Service (DDoS), due metodi con finalità diverse, ma entrambi in grado di causare danni significativi alle infrastrutture digitali. Il defacement si concentra sulla modifica del contenuto di un sito web per diffondere un messaggio politico o ideologico, mentre l'attacco DDoS mira a sovraccaricare un servizio online, rendendolo irraggiungibile.
Durante il conflitto tra Anonymous Italia e NoName057(16), entrambe le tecniche sono state ampiamente impiegate per attaccare i rispettivi avversari. Anonymous Italia ha preferito il defacement, alterando siti web russi per diffondere contenuti contrari alla propaganda del Cremlino. Al contrario, NoName057(16), gruppo noto per il suo orientamento filorusso, ha utilizzato gli attacchi DDoS per colpire siti governativi e infrastrutture critiche italiane, causando interruzioni temporanee dei servizi. Questa "guerra" digitale non è solo una questione tecnica, ma riflette anche profonde divergenze ideologiche tra i due schieramenti.
Il defacement: oltre l’aspetto visivo
Il defacement è un attacco in cui un hacker modifica il contenuto di un sito web senza autorizzazione, sostituendo le pagine originali con messaggi politici, propaganda o segni distintivi della propria attività. Questo tipo di attacco è spesso utilizzato dai gruppi hacktivisti per diffondere ideologie, ma anche dai cybercriminali per danneggiare la reputazione di un'organizzazione.
Tuttavia, il defacement non è solo una questione estetica. Per alterare il contenuto di un sito, l’attaccante deve prima compromettere la sua sicurezza, solitamente tramite uno dei seguenti metodi:
- Accesso con credenziali rubate o deboli: Gli hacker ottengono l’accesso tramite phishing, log di infostealer, canali Telegram o attacchi di forza bruta, per poi alterare le pagine del sito.
- Sfruttamento di vulnerabilità software: Gli attacchi di defacement possono anche avvenire sfruttando vulnerabilità nei CMS (Content Management System) o nei server web, come quelle legate alla Remote Code Execution (RCE).
Il defacement come violazione della sicurezza informatica
Il defacement va oltre la modifica del sito web, rappresentando una violazione critica della sicurezza. Questo tipo di attacco mette in discussione tutti e tre i pilastri della sicurezza informatica, conosciuti come RID (Riservatezza, Integrità e Disponibilità):
- Riservatezza: Se l’attaccante ha acquisito i privilegi amministrativi, potrebbe aver esfiltrato dati sensibili come credenziali o informazioni riservate.
- Integrità: Il contenuto del sito è stato alterato, e il sistema non può più essere considerato sicuro fino al ripristino e all'analisi approfondita.
- Disponibilità: Un defacement potrebbe anche compromettere l’accesso al sito, soprattutto se combinato con tecniche distruttive che eliminano file critici.
Incident Response: un’analisi necessaria
Quando un sito subisce un defacement, non basta limitarsi a ripristinare il contenuto originale. È essenziale avviare una risposta agli incidenti (Incident Response) per determinare l’entità dell’attacco. Tra le azioni necessarie ci sono:
- Analizzare i log di accesso per individuare l’origine dell’intrusione.
- Verificare la presenza di backdoor o malware lasciato dall’attaccante.
- Controllare se siano stati esfiltrati dati sensibili.
- Aggiornare il sito con le ultime patch di sicurezza e cambiare tutte le credenziali compromesse.
L’attacco DDoS: saturare la disponibilità
L'attacco DDoS è una tecnica che mira a rendere un sito web o un servizio online inaccessibile, saturandolo con un eccessivo volume di richieste. A differenza del defacement, che compromette l'intera sicurezza del sistema, il DDoS colpisce esclusivamente la disponibilità del servizio, impedendo agli utenti legittimi di accedervi.
Il DDoS può essere orchestrato in vari modi, tra cui:
- Botnet a pagamento: Strumenti software (come i "booters") vengono venduti su circuiti underground per acquistare una rete di dispositivi compromessi, in grado di lanciare attacchi DDoS su commissione.
- Attacchi basati sulla community: Alcuni gruppi hacktivisti, come NoName057(16), utilizzano strumenti come LOIC (Low Orbit Ion Cannon) per raccogliere risorse da più dispositivi e attaccare insieme un obiettivo comune.
Le conseguenze di un attacco DDoS
Un attacco DDoS può avere conseguenze gravi, soprattutto su siti istituzionali o piattaforme di e-commerce. Gli impatti principali includono:
- Perdita di accesso ai servizi critici, come un sito governativo o bancario inaccessibile.
- Danni economici per le aziende, specialmente quelle che dipendono dai servizi online.
- Danneggiamento della reputazione, con gli utenti che percepiscono l’azienda come incapace di proteggere le proprie risorse digitali.
Sebbene un attacco DDoS non violi direttamente il server, può essere usato come distrazione per nascondere altre intrusioni più profonde, come il furto di dati.
Hacktivismo cibernetico: cause e implicazioni
L'hacktivismo cibernetico combina l'attivismo politico con l'hacking informatico, utilizzando attacchi digitali per promuovere cause politiche e sociali. Nel caso di Anonymous Italia e NoName057(16), le loro azioni sono guidate da convinzioni ideologiche opposte, con l'obiettivo di influenzare l'opinione pubblica e danneggiare le infrastrutture digitali dell’avversario.
Questi attacchi pongono questioni rilevanti riguardo alla sicurezza nazionale e alla protezione delle infrastrutture critiche. Le autorità devono rafforzare le difese cibernetiche e sviluppare strategie per affrontare queste minacce, assicurando la resilienza dei servizi essenziali e la protezione dei dati sensibili.
In sintesi, la "guerra" tra Anonymous Italia e NoName057(16) evidenzia come il cyberspazio sia diventato un nuovo campo di battaglia per conflitti geopolitici e ideologici, dove anche singoli individui possono influenzare gli eventi tramite attacchi digitali mirati a scopi strategici e propagandistici.
FONTE: Redhotcyber.com