Nell’immaginario collettivo, gli hacker hanno un ritratto piuttosto preciso: quasi sempre molto giovani, o nerd di mezz’età al limite dell’Hikikomori, hanno comunque un tratto in comune: il muoversi per ragioni ideologiche, scollegate dalle logiche della geopolitica e dell’economia globale.
Check Point Software, produttrice di dispositivi di rete e software, relativi alla sicurezza, ha evidenziato come questa immagine sia il retaggio di un passato remoto. Il rapporto presentato durante la tavola rotonda del 22 novembre 2022, mostra una situazione molto diversa, in cui l’hacktivismo ha abbandonato molte delle sue caratteristiche per trasformarsi in un fenomeno sempre più organizzato e industrializzato.
Partiamo dall’inizio: l’hacktivism, o hacktivismo, nasce dalla crasi dei termini hacker e activism indica appunto l’attivismo effettuato attraverso tecniche di hacking. Sempre Check Point lo definisce come “l’atto di hackerare, o introdursi in un sistema di computer, guidati da motivazioni politiche o sociali”.
Tradizionalmente, tuttavia, gli hacker e i collettivi old school, per esempio il famoso Anonymous, hanno operato secondo una propria agenda, scollegata da logiche di politica internazionale. Alcune delle operazioni più celebri dell’hacktivismo tradizionale sono state l’Operazione KKK contro il Ku Klux Klan, una campagna portata avanti contro le Nazioni Unite per non avere dato uno scranno a Taiwan e l’operazione AntiSec, finalizzata a rubare e pubblicare documenti governativi classificati, ma anche cause ambientali come #Opwhales per la salvaguardia delle balene, oltre a una serie di attività minori e più controverse. Le cose, però, sembrano essere cambiate.
Come si è evoluto lo scenario nell’ultimo anno
Secondo quanto riportato da Check Point, durante lo scorso anno l’hacktivismo è cambiato e non coinvolge più solo gruppi eterogenei. Al fianco dei gruppi “old school”, sono emersi soggetti con caratteristiche diverse. SI tratta di organizzazioni più strutturate e organizzate, con gerarchie, catene di recruitment e in generale un’organizzazione di base più solida. Questo permette loro anche di portare attacchi di natura più sofisticata. Questo fenomeno si è sviluppato soprattutto in aree di conflitto, ma ne ha presto valicato i confini, coinvolgendo realtà a livello globale.
Come possiamo leggere nel report, “I colossi aziendali, i governi europei e quello statunitense sono stati bersagliati da questa forma di hacktivismo emergente. Nei mesi recenti Stati Uniti, Germania, Lituania, Italia, Estonia, Norvegia, Finlandia, Polonia e Giappone hanno subito pesanti attacchi mossi dai gruppi di attivisti, che in alcuni casi hanno avuto un impatto significativo. Gli attacchi recenti hanno interessato non solo i governi di questi Paesi, ma anche grandi aziende come Lockheed Martin, che opera come contraente della sicurezza globale.”
Ideologia politica, leadership, organizzazione, ma anche la ricerca attiva di nuovi esperti da inserire in organico e una dotazione di strumenti propri. I gruppi, oggi, sono sempre più simili a imprese, o a contractor di natura militare. Un processo che è iniziato in sordina un paio di anni fa nel Medio Oriente. Gruppi come Hackers of Savior, Black Shadow e Moses Staff hanno concentrato gli attacchi esclusivamente su Israele. Sul fronte opposto, gruppi come Predatory Sparrow si concentravano principalmente su bersagli pro-iraniani.
Il ruolo del 2nuovo” hacktivismo nella guerra russo-ucraina
Ma è con la guerra russo-ucraina che la cyberwarfare balza forse per la prima volta all’onore delle cronache belliche. Con un ruolo rilevante da parte degli hacktivisti new school, che, come abbiamo visto, sono spesso schierati apertamente con nazioni o governi.
L’Ucraina, per esempio, con il gruppo IT Army è un esempio di mobilitazione su mandato diretto di un governo. Schierati con l’Ucraina troviamo anche gruppo dei Belarusian Cyber-Partisans e il TeamOneFist, collettivo a favore dell’Ucraina, che in agosto ha danneggiato la centrale elettrica della città di Khanty-Mansiysk in Russia, causando un blackout all’aeroporto.
Ma i gruppi più attivi e strutturati al momento sembrano essere quelli dello schieramento russo. Citiamo per esempio Killnet, Xaknet, From Russia with Love (FRwL), NoName057(16). Proprio Killnet è al centro del caso studio di Check Point Software.
Killnet: un caso studio
La maggior parte degli attacchi di questo tipo sono stati portati a termine del gruppo Killnet, costituitosi a febbraio 2022 e concentratosi in prima battuta su obiettivi ucraini, per poi ampliare il proprio raggio di azione. A settembre 2022 gli attacchi rivendicati erano più di 550, di cui solo 45 in Ucraina. In Italia, per esempio, ne sono stati rivendicati 15.
In generale, dallo studio effettuato sembra emergere uno schema: gli attacchi vengono spesso diretti verso nazioni o realtà in occasione di azioni o dichiarazioni particolarmente eclatanti contro la Russia. Un caso che racconta molto bene l’evoluzione della guerra cibernetica è uno degli attacchi all’Estonia avvenuto a settembre in seguito alla rimozione dei monumenti sovietici. Pur trattandosi di un attacco esteso, infatti, ha avuto un’efficacia limitata proprio perché, a quanto sembra, l’Estonia era preparata a una simile eventualità contestualmente alla decisione di rimuovere i monumenti.
Hacktivismo o hacking di stato?
Un altro dato che emerge dalle analisi di Check Point riguarda la struttura organizzativa di questi nuovi gruppi. Operazioni strutturate, attacchi mirati e organizzati e una capacità attrattiva considerevole nei confronti delle persone con alti profili. Spesso questi gruppi dispongono di un manifesto ideologico e operativo che i membri devono seguire.
Killnet, per esempio, che rappresenta per molti versi l’archetipo di queste nuove organizzazioni, ha un canale Telegram con più di 89.000 iscritti, una struttura fortemente gerarchizzata e un’organizzazione in squadre preparate a eseguire diverse tipologie di attacchi. Una struttura in cui trovano spazio dodici gruppi secondari, che potremmo definire “forze speciali” al cui vertice si trova Legion, considerato il gruppo primario. Oltre a questo, una struttura decentrata e un numero imprecisato di squadre minori garantiscono al sistema una considerevole resilienza.
Aspetto fondamentale di questo nuovo fenomeno è il reclutamento. I “volontari” devono avere una serie di prerequisiti minimi in termini di capacità tecniche e per trovarli non si esita a rivolgersi al mercato, anche con investimenti considerevoli, mentre alle masse vengono lasciate le incombenze di basso profilo come gli attacchi DDoS. Alcuni gruppi, per esempio NoName057(16) sembrano spingersi ancora più in là, offrendo un programma di training strutturato.
Infine, ciascun gruppo dispone di un proprio arsenale tecnico, spostandosi sempre di più verso soluzioni proprietarie, che sostituiscono o integrano strumenti di attacco già noti. Insomma: dal report emerge un quadro in cui tracciare una linea netta tra realtà “spontanee” e soggetti che hanno finanziamenti o appoggi di vario genere da parte di realtà governative è piuttosto difficile.