Il coordinamento di Legion in una sorta di gamification degli attacchi hacker

Partiamo con una premessa doverosa: le intenzioni manifestate su Telegram non indicano, necessariamente, conseguenze effettive sulla realtà che ci circonda ma – in merito all’attacco DDoS sferrato da Legion alle istituzioni italiane nel pomeriggio di ieri – le conseguenze ci sono state eccome in seguito a intenzioni manifestate su Telegram. Abbiamo provato a ricostruire la genesi e lo svolgimento delle comunicazioni che hanno portato alla paralisi i siti di ministeri e istituzioni italiane per svariate ore ricostruendo le conversazioni – che andremo a riportare tradotte dal russo all’italiano in questo pezzo – così da fornire un contesto maggiore a quanto accade: si tratterebbe, per gli hacktivisti di Killnet e Legion, di un allenamento nell’ambito di una sorta di gamification degli attacchi hacker di cui troviamo traccia nelle chat Telegram Legion.

LEGGI ANCHE >>> I no vax che esultano per l’attacco di Killnet all’ISS (non avendo capito cosa è successo)

Dalle chat Telegram Legio e Killnet all’attacco DDos che ha colpito le istituzioni italiane

Partendo dal risultato, ovvero la paralisi dei siti cui abbiamo assistito nel pomeriggio tardo di ieri, abbiamo provato a risalire a quello che – in precedenza e parallelamente – stava accadendo sui gruppi Telegram degli hacktivisti che hanno rivendicato (o scaricato) la responsabilità dell’attacco che l’Italia ha subito. Se è su Killnet che sono comparsi i primi riferimenti a quello che Italia e Spagna stavano subendo («Italia e Spagna, ho sentito che la Squadra Mirai sta venendo da voi. Forse questo è l’inizio della vostra fine!», messaggio pubblicato alle 17.12 di ieri), è sulla chat Legion Russia – alla quale c’è un diretto rimando a partire da quella di Killnet – che è avvenuto il coordinamento dell’azione.

Alle 16.02 di ieri sul canale Telegram Legion Russia – che è stato definito da Killnet “un loro bambino disobbediente” e che quindi avrebbe agito indipendentemente – è comparso il seguente messaggio (abbinato all’eloquente immagine di un hacker che fa il suo lavoro mentre è in bagno a espletare le sue funzioni fisiologiche):

☺️ Ciao Legione. Intorno a noi ci sono molti dubbi sulle nostre capacità. Quindi, cittadini dei Legionari, d’ora in poi perdete il controllo per 10 giorni. Il vostro obiettivo sono i paesi della NATO e l’Ucraina.
🖤 ​​​​Sulla base delle raccomandazioni di persone delle nostre comunità, mi è stato ordinato di trasmettere che “ITALIA E SPAGNA” viene fatta a pezzi dal distaccamento “MIRAI”.
🖤 ​​​​E Sakura e Jackie ottengono Polonia e Germania.
Tutto è nelle tue fantasie, mia cara. Non ci sono restrizioni nella scelta degli obiettivi. Improvvisamente vorresti rovinare la rianimazione, beh, va bene, succede 😌

⚡️ Compagni comandanti, mostra loro quanto è stato brutto in Romania e in Moldova dato che non guardano la loro lingua!

Si tratterebbe, leggendo questi messaggi, di una sorta di gioco a squadre per dimostrare le capacità dei membri di Legion e, come conferma anche Killnet, per fare allenamento in previsione di reali attacchi futuri. Alle singole squadre vengono forniti una serie di obiettivi in vari dei paesi presi di mira e il gioco inizia. Ecco un esempio di assegnazione degli obiettivi alla squadra Mirai (che tra l’altro è il nome di un virus) per quanto riguarda l’Italia:

Attacco dimostrativo all’infostrutture di rete d’Italia del comandante del distaccamento “MIRAI”

Senato
https://www.senato.it
https://check-host.net/check-report/98e51fakc3c

Kompass / Portale B2B, database delle aziende.

https://it.kompass.com/
https://check-host.net/check-report/98e77fak98e

Portale energia/informazioni, notizie, riviste
https://www.guidaedilizia.it
https://check-host.net/check-report/98e6e9ek477

Tra esultanze per gli obiettivi colpiti e segnalazioni di altri possibili oggetti di attacco, la conversazione va avanti da ieri e – stando a quanto si legge – gli attacchi dovrebbero proseguire sotto forma di gioco squadre contro squadre per altri nove giorni («Dopo 9 giorni, riassumeremo le attività di ciascuna delle unità DDOS. Chi rimane attivo resta nella Legione, chi non ce l’ha sarà espulso»).

Riferimenti al «troppo rumore» dei media sulla questione

Non mancano screen di articoli di giornale italiani che hanno parlato dell’attacco nella giornata di ieri e che continuano a farlo oggi – presi apertamente in giro dagli hacktivisti – con la seguente frase in specifico riferimento a un articolo del Messaggero: «Come vi è venuta l’idea che abbiamo attaccato? 🧐 Fottuti media, è ora di mettervi al vostro posto!».

L’ultimo aggiornamento in tal senso (condiviso sia in lingua inglese che in lingua russa) lo ha dato a chiare lettere questa mattina, verso le 11.30, il canale Telegram di Killnet: «Cari media italiani e spagnoli –  comincia il gruppo, parlando direttamente ai giornali – killnet non attacca realmente i vostri Paesi come ha fatto in Romania. Se ciò accadesse, il 29 aprile 1945, giorno della vostra resa, si ripeterebbe molto rapidamente».

Continua: «La nostra Legione conduce esercitazioni militari informatiche nei vostri Paesi per migliorare le proprie capacità. Tutto avviene in modo simile alle vostre azioni: gli italiani e gli spagnoli imparano a uccidere le persone in Ucraina. La nostra Legione sta imparando a buttare giù i vostri server! Dovete capire che questo è un addestramento. Non fate troppo rumore, sono stufo della quantità di notizie sugli attacchi al Senato. Vi do la mia parola d’onore che il nostro esercito informatico finirà presto l’addestramento nel vostro territorio e passeremo all’offensiva. Succederà all’improvviso e molto rapidamente».

Si susseguono avvertimenti e minacce, quindi. Ciò che è stato concretizzato e gli effetti nelle nostre vite di cittadini italiani lo abbiamo visto nella giornata di ieri. Il resto, per ora, è e rimane solamente una sequenza di parole in una chat Telegram.