Lo avevano annunciato su Twitter – la loro principale piattaforma di comunicazione – lo scorso venerdì 25 febbraio, a neanche 24 ore dall’ingresso dei carri armati russi in Ucraina, mentre erano in corso i primi bombardamenti: quella alla Russia di Putin sarà (anche) una «cyberguerra». «Anonymous – si leggeva nel tweet sul loro account seguito da oltre 7 milioni di persone – è attualmente coinvolto in operazioni contro la Federazione russa. Le nostre operazioni prendono di mira il governo russo. È inevitabile che anche il settore privato ne risentirà molto».
Anonymous has ongoing operations to keep .ru government websites offline, and to push information to the Russian people so they can be free of Putin’s state censorship machine.
We also have ongoing operations to keep the Ukrainian people online as best we can.— Anonymous (@YourAnonNews) February 26, 2022
Reagendo così alle cyber minacce di Mosca che hanno preso di mira il Parlamento ucraino, la Rada, il ministero degli Esteri e i servizi di pubblica sicurezza.
Per questo il collettivo si è rivolto a tutti gli altri pirati informatici: «Hacker di tutto il mondo: prendete di mira la Russia nel nome di Anonymous: fategli sapere che non perdoniamo e non dimentichiamo». Poche ore dopo il primo attacco informatico, Anonymous ha poi tirato giù anche il sito del ministero della Difesa russo e ne ha diffuso il database contenente telefoni, posta e nomi di dipendenti del Ministero (diffusione che, però, la Russia ha sempre negato). Era stato poi il turno del sito web del Cremlino: «Abbiamo mandato offline i siti governativi e girato le informazioni ai cittadini russi in modo che possano essere liberi dalla macchina della censura di Putin», avevano comunicato gli hacker di Anonymous, aggiungendo di star lavorando per «garantire al meglio la connessione online del popolo ucraino». Sabato, poi, era stata la volta della piattaforma online dell’Agenzia spaziale russa (roscosmos.ru) e al sistema ferroviario rzd.ru.
Domenica, poi, un nuovo attacco hacker contro un sito della rete di controllo del gas russo: il Russian Linux terminal di Nogir, nel nord dell’Ossezia. «Abbiamo cambiato i dati e alzato così tanto la pressione del gas da causare quasi un incendio. Ma così non è stato per la rapida azione di un responsabile», hanno scritto su Twitter. Poi hanno reso irraggiungibili circa 300 siti internet di compagnie, banche e media statali russi, tra cui quelli dei colossi energetici Gazprom, Lukoil e Rosneft e quello dell’agenzia stampa Tass. E soprattutto il sito del ministero dell’Energia russo. «Tango down», hanno twittato, cioè «Obiettivo centrato».
Il video esplicativo
In un video di oltre tre minuti, poi, avevano chiarito le ragioni dell’operazione chiamara «OpRussia»: in qualità di attivisti, non rimarrà inattivo mentre le forze russe continuano ad uccidere persone innocenti che cercano di difendere la propria patria. Il messaggio è rivolto anche a tutti i soldati russi a cui viene chiesto di deporre le armi e di ritirarsi dall’Ucraina, in quanto «i crimini di Putin non devono essere anche i loro». Come collettivo, Anonymous si propone di aiutare a fornire informazioni valide al popolo russo sulle «folli» azioni di Putin, provando anche ad aiutare le persone dell’Ucraina fornendo pacchetti di assistenza, cercando di mantenere aperti i canali di comunicazione e aiutare ad offuscare le loro comunicazioni da «occhi indiscreti». Un’azione, quella di Anonymous, che vuole in qualche modo contrastare la censura russa verso le piattaforme social: nei giorni scorsi Putin aveva infatti annunciato di aver bandito Facebook e poi anche Twitter.
I primi cyber attacchi erano poco più che vandalismo digitale. Il sito ufficiale del Cremlino bloccato, quello della Duma e poi quelli dei colossi energetici. Azioni d’impatto, come quella che ha manomesso i dati di navigazione di Graceful, lo yacht di Vladimir Putin. Negli ultimi giorni però il collettivo hacker Anonymous ha deciso di alzare il tiro. Ieri gli attivisti hanno dichiarato una guerra totale contro Putin che non avrebbe risparmiato nemmeno i suoi dati personali. Ora il passo in avanti: l’account Twitter @Doemela_X ha rilanciato un link pubblicato su Anonfiles.com, il portale in cui gli hacker della rete Anonymous diffondono i file sensibili trafugati durante le loro azioni. Da questo link è possibile scaricare circa 40 mila documenti attribuiti all’Istituto di Sicurezza Nucleare di Mosca.
HermeticWiper, il malware che attacca l’Ucraina
HermeticWiper è il primo malware ufficiale della guerra Russo-Ucraina. il 23 febbraio è stato identificato questo malware dalle funzionalità devastanti, coinvolti in attacchi mirati verso obiettivi strategici del Paese. Proprio mentre la Russia invia truppe ai confini con l’Ucraina e ne autorizza l’invasione dei territori più orientali contesi.
Obiettivo del malware è distruttivo, quindi fare danni nei sistemi, il che lo rende più pericoloso dei comuni ransomware. Una volta colpiti, non si può ripristinare il sistema. Per le possibili ricadute su computer occidentali, sono arrivati allarmi e raccomandazioni delle strutture competenti, come l’Agenzia per la sicurezza nazionale e lo Csirt.
Come funziona
Finora questo scontro aveva portato solo attacchi DDOS a siti governativi ucraini. Il malware segna una escalation prevista e prevedibile.
Le peculiarità di HermetWiper (alias KillDisk.NVC) – “consistono nel distruggere intenzionalmente i dati presenti su un dispositivo al fine di renderli irrecuperabili, minando il corretto funzionamento del sistema operativo in esecuzione” avverte il CSIRT.
Aggiornamento 25 febbraio: il CSIRT aggiunge altri 18 nuovi indicatori di compromissione inerenti HermeticWiper, e li diffonde tramite bollettino sul sito istituzionale. Invitiamo pertanto ad aggiornare i propri sistemi di sicurezza, sulla base anche di quest’ultimo update.
Secondo ESET, il recente malware è stato installato su centinaia di dispositivi su reti ucraine, osservando inoltre che è stato creato il 28/12/21. Indica che gli attacchi sono stati probabilmente pianificati in largo anticipo.
SentinelLabs ha prodotto un’analisi dettagliata del malware, identificando come cuore pulsante del software malevolo, l’abuso di un driver per natura benigno utilizzato per gestire le partizioni della memoria. Anche altri gruppi in passato hanno utilizzato questa tecnica, però in questo caso lo si fa sfruttando un driver differente, mai abusato prima:
empntdrv.sys
.
HermeticWiper è studiato per mirare alla compromissione del Master Boot Record presente in ogni unità di memoria riconosciuta nel sistema. Così facendo si ha la certezza che quella macchina, infettata, non sarà più in grado di avviarsi, rendendola dunque indisponibile all’utente. L’MBR infatti è quella parte di unità di memoria, destinata alla memorizzazione delle istruzioni e dei dati necessari al sistema operativo di effettuare l’operazione di startup (accensione, boot), compromettendola, la macchina non trova più ciò che occorre per eseguire il sistema operativo.
Questo virus informatico nuovo, è considerato pericoloso per le reti di computer. Lo si è analizzato con uno sforzo congiunto tra diversi centri di ricerca, tra cui i ricercatori di Symantec, ESET, Stairwell e RedCanary. Con estrema urgenza come detto, anche i CERT nazionali ne hanno appreso la notizia e diffuso le informative per la sicurezza della propria nazione. Infatti al momento sembra essere adoperato per obiettivi ucraini, ma come sappiamo, la guerra cibernetica non ha confini nazionali ben definiti e non si può avere, in questa fase, la certezza che venga adoperato per campagne malevole verso l’occidente.
“Nessuna guerra può oggi ignorare, purtroppo gli asset cibernetici, e ovviamente le armi più efficaci sono gli zero day. Veicolati attraverso malware”, dice Danilo Bruschi, professore dell’Università di Milano e uno dei padri della cyber italiana. “Purtroppo questo è un malware distruttivo, si fosse usato un ransomware terminate le ostilità si poteva almeno ripristinare la situazione, ma ovviamente non è questa l’intenzione” , aggiunge.
HermeticWiper, allarme anche in Italia
Già nei giorni scorsi l’Agenzia per la Cybersicurezza Nazionale (ACN) via Csirt ha segnalato che la crisi in Ucraina aumenta “i rischi cibernetici ai quali sono esposte le imprese italiane che intrattengono rapporti con operatori situati in territorio ucraino, derivanti da possibili danni a obiettivi digitali di quel Paese”, con varie raccomandazioni.
Il 25 febbraio ha ribadito il concetto riferendosi proprio a HermeticWiper.
“Risulta essere stato distribuito un malware di tipo “wiper” – denominato HermeticWiper (alias KillDisk.NCV) – le cui peculiarità consistono nel distruggere intenzionalmente i dati presenti su un dispositivo al fine di renderli irrecuperabili, minando il corretto funzionamento sistema operativo in esecuzione”.
L’Agenzia spinge quindi a adottare ora con urgenza le raccomandazioni già diramate nei giorni scorsi. E ha pubblicato nuovi IOC (indicatori di compromissione).
Perché il malware mette in pericolo anche noi
L’allarme in Italia e in Occidente è fondato perché in passato lo scontro tra Russia e Ucraina ha partorito NotPetya, che ha causato miliardi di dollari di danni nel mondo diffondendosi da computer e reti ucraine a quelle di loro partner e clienti occidentali.
Almeno ora l’Occidente – le nostre aziende, pubbliche amministrazioni – dovrebbe essere più preparato.
