Sono le sette di mattina dell’11 gennaio 2025 quando i portali di ministeri e istituzioni italiane iniziano ad andare in tilt. Ventiquattro ore dopo è il turno di aziende, porti e banche, presi di mira da attacchi DdoS (Distributed denial of service) che hanno sovraccaricato i siti web, rendendoli inaccessibili.
I responsabili sono i pirati informatici del gruppo filorusso Noname057(16), fondato nel marzo 2022 e artefice di varie aggressioni contro Stati percepiti come avversari della Russia, tra cui l’Italia. Il collettivo ha rivendicato gli attacchi su Telegram, attribuendoli al sostegno italiano all’Ucraina, confermato dalla premier Giorgia Meloni nell’incontro con il presidente ucraino Volodymyr Zelensky.
I disagi sono stati moderati, anche grazie all’intervento dell’Agenzia per la Cybersicurezza Nazionale (Acn) che ha contribuito a ripristinare i servizi in tempi brevi, ma le offensive hanno fatto molto rumore. «Noname057(16) è un gruppo nato dopo lo scoppio della guerra in Ucraina che aggrega persone in linea con la causa russa e prende di mira tutti i Paesi che offrono supporto a Kiev», dice Pierluigi Paganini, esperto di cybersecurity.
Non esistono prove ufficiali di un legame diretto con gli apparati statali russi, ma queste azioni sono molto vantaggiose per Mosca. Grazie agli “hacktivisti”, il Cremlino vede i propri interessi difesi e promossi senza esporsi direttamente, evitando coinvolgimenti ufficiali e rischi diplomatici.
Nel 2016, infatti, il vertice NATO di Varsavia ha riconosciuto lo spazio cibernetico come un dominio operativo nei conflitti, alla pari di terra, mare e aria. «Un attacco informatico che danneggi un Paese membro dell’alleanza può giustificare una reazione anche militare, in virtù dell’articolo 5 del Patto Atlantico» – spiega Paganini – «ma un’offensiva cyber è più difficile da attribuire e può essere usata come schermaglia».
Secondo Paganini, quelle dell’11 e 12 gennaio sono azioni di disturbo con finalità dimostrative. Non richiedono grandi risorse economiche e, dal punto di vista tecnico, «disponiamo di tutti i mezzi necessari a neutralizzarle». Si tratta di aggressioni non comparabili con grandi missioni di spionaggio attribuibili a unità militari, che utilizzano malware molto più sofisticati.
Nonostante ciò, la galassia degli hacker pro-Cremlino continua a espandersi, con una crescente cooperazione tra gruppi. Da tempo Noname057(16) ha stretto alleanze con altre organizzazioni come Killnet e XakNet, responsabili di attacchi a diversi Paesi Europei.
Una novità recente è l’attività di network provenienti da contesti geopolitici lontani dai collettivi filorussi, ma che hanno iniziato a collaborare con loro per convenienza e interessi comuni. Uno di questi è Alixsec, associazione di pirati informatici pro-Palestina che l’11 e 12 gennaio ha colpito aziende come Olidata, Skillbill e Zucchetti.
Questi interventi hanno lo scopo di confondere, creare rumore, denigrare i Paesi colpiti. In un messaggio diffuso dopo l’assalto ai siti web, Noname057(16) ha invitato l’Italia ad «aiutare se stessa» prima dell’Ucraina e a «preoccuparsi della propria cybersicurezza».
L’altra dimensione della guerra ibrida è la disinformazione, spesso portata avanti attraverso campagne ben pianificate e finanziate, come l’operazione Döppelganger. Quest’ultima è stata scoperta nel 2022 dalla Ong EU DisinfoLab, che ha individuato numerosi articoli falsi spacciati per produzioni delle principali testate tedesche. Una successiva indagine del governo francese ha rivelato legami diretti con enti statali russi.
Che siano riconducibili al Cremlino o meno, le reti hacker indipendenti e le campagne di disinformazione condividono lo stesso obiettivo: disorientare, screditare e destabilizzare i Paesi che non si allineano alle posizioni del governo di Mosca.
Oltre alla Russia, Paganini cita altri Paesi che sono tra i principali responsabili di incursioni informatiche contro l’Occidente: «Per quanto riguarda lo spionaggio la più aggressiva è la Cina. La Corea del Nord ha compiuto attacchi contro istituti finanziari per sostenere il proprio esercito. Infine, l’Iran è un attore molto attivo soprattutto in Medio Oriente con operazioni di sabotaggio».
Per prevenire questo tipo di offensive ibride, conclude Paganini, è fondamentale la Cyber Threat Intelligence, un’attività costante di monitoraggio e condivisione delle informazioni. «L’Italia si è attrezzata con la creazione di un centro di risposta alle minacce cyber, bisogna continuare a lavorare in questa direzione collaborando anche a livello internazionale e con i privati».
Di Massimo De Laurentiis