Martedì GitHub ha disabilitato gli account sulla sua piattaforma appartenenti al gruppo di hacktivisti filo-russi NoName057(16), già connessi ad attacchi contro organizzazioni dei Paesi NATO, compresi tentativi di compromettere i servizi web della banca centrale danese e di altre istituzioni finanziarie del Paese.
NoName057(16) ha utilizzato lo spazio cloud di GitHub per ospitare il codice utilizzato per i suoi attacchi, come hanno dichiarato giovedì i ricercatori di SentinelOne. I ricercatori hanno segnalato l’attività a Github, consentendo rapidamente alla società di disabilitare gli account del gruppo hacker.
“Abbiamo disabilitato gli account in conformità con le policy di utilizzo consentito di GitHub, che vietano la pubblicazione di contenuti che supportano apertamente azioni illegali o che utilizzano GitHub come mezzo per distribuire eseguibili dannosi”, ha dichiarato un portavoce dell’azienda.
Sebbene sia più sconosciuto di altri gruppi di hacktivisti filo-russi, come KillNet e Xaknet (gruppi di hacking filo-russi che il governo statunitense ha indicato come una minaccia alle infrastrutture critiche degli Stati Uniti) NoName057(16) distribuisce criptovaluta come forma di compenso ai suoi migliori contributori nelle attività di attacco. E anche se i suoi attacchi DDoS hanno avuto finora scarsa portata e impatto, gli incentivi finanziari offerti dal gruppo incoraggiano “le persone a contribuire con sempre maggiori risorse tecniche nell’ottica di attacchi sempre più potenti”, osservano i ricercatori di SentinelOne.
“Il gruppo ha dimostrato la volontà di colpire un’ampia gamma di organizzazioni in tutta la NATO” ha dichiarato Tom Hegel, senior threat researcher presso SentinelOne. Offrendo un incentivo finanziario “gli individui che contribuiscono agli attacchi possono essere spinti dalla possibilità di un ritorno finanziario, anziché politico, il che implica un più ampio bacino di potenziali contributori”, ha detto Hegel.
Sebbene sia importante non sovrastimare l’impatto di un gruppo tecnicamente poco sofisticato come NoName057(16), il collettivo è un esempio di come l’invasione dell’Ucraina da parte della Russia abbia ispirato sempre più gruppi hacker a politicizzarsi.
Hegel e il collega ricercatore Aleksandar Milenkoski sottolineano, in un’analisi pubblicata giovedì, come questo gruppo sia emblematico del crescente interesse per attacchi perpetrati su basa volontaria e decentralizzata, con l’ulteriore incentivo della retribuzione per i collaboratori più efficaci. “Ci aspettiamo che tali gruppi continuino a proliferare nell’attuale clima politico fortemente problematico”, dichiarano i ricercatori.
NoName057(16) ha inizialmente preso di mira i siti di notizie ucraini a partire da marzo di quest’anno, per poi passare ad attaccare varie organizzazioni nei Paesi NATO, nel tentativo di mettere a tacere “ciò che il gruppo giudica anti-russo”, secondo Hegel e Milenkoski.
Il gruppo tende a cambiare obiettivo in base agli eventi del momento, sottolineano i ricercatori. A dicembre, ad esempio, il gruppo ha bloccato servizi web in Polonia, poco dopo che i legislatori di quel Paese avevano riconosciuto la Russia come Stato promotore del terrorismo. A gennaio, il gruppo ha preso di mira i settori del trasporto merci e delle spedizioni in Lituania, prima di rivolgersi a obiettivi in Danimarca.
Il gruppo si affida a Telegram per comunicare con i suoi follower e mercoledì ha informato gli oltre 18.000 iscritti al suo canale in lingua russa (e i circa 300 iscritti al canale parallelo in lingua inglese) di aver preso di mira il sito web di un candidato alle prossime elezioni presidenziali ceche.
Con un attacco perpetrato in risposta al ruolo svolto dalla Repubblica Ceca nell’addestramento dei soldati ucraini, NoName057(16) ha dichiarato di aver abbattuto il sito web del candidato alle elezioni presidenziali Tomas Zima.
I segnali inviati dal server di comando e controllo di NoName057(16) indicano chiaramente che il gruppo ha attaccato anche altri siti web di candidati alle elezioni presidenziali ceche, rendendo alcuni di essi disponibili a singhiozzo nel corso della giornata di mercoledì.
