Tre attacchi hacker contro l’Ucraina da parte della Russia, la guerra è iniziata così
Come ha riportato la Bbc, nelle scorse ore si è verificato un massiccio attacco informatico che ha reso irraggiungibili i siti del governo di Kiev, del ministero degli esteri, del Parlamento e delle agenzie di sicurezza.
Fonti diplomatiche e di intelligence hanno ricostruito un triplice attacco hacker nelle ore precedenti all’annuncio ufficiale di Putin di invasione, avvenuto alle 4 di notte ore italiana.
Intorno alle 16 del giorno precedente, il 23 febbraio, un attacco di tipo DDoS ha colpito diverse agenzie governative ucraine, tra cui la presidenza dell’Ucraina, il parlamento, il Gabinetto dei ministeri, il ministero degli Affari Interni e quello degli Affari Esteri, il ministero della Difesa e il servizio di sicurezza ucraino.
L’attacco ha colpito anche due istituti bancari, PrivatBank e Oschadbank, che però hanno retto il carico di traffico grazie ai propri sistemi di protezione.
L’attacco DDoS (Denial of Service) prevede infatti l’aggressione di un sito web con un’ondata di traffico «fasullo», di modo da bloccare il servizio a causa delle troppe richieste simultanee. In realtà sono stati due gli attacchi: il primo alle 16, durato circa 40 minuti.
Il secondo alle 17.00, con disservizi protratti fino alle 19.00. Una prima analisi, riportata dal ministro della Trasformazione digitale ucraino e condotta da Cloudflare, ha identificato i responsabili dietro a IP sorgenti localizzati in Russia. Una strategia simile era già stata utilizzata contro i siti istituzionali di Kiev solo una settimana prima, il 15-16 febbraio.
Su centinaia di PC ucraini è stato trovato un nuovo malware, che i ricercatori ESET hanno battezzato come HermeticWiper: si tratterebbe di codice di nuova concezione, preparato da tempo e usato ora per creare danni ai sistemi sotto attacco.
Si tratta infatti di un codice distruttivo, che sostituisce i file fermando i sistemi, per poi riavviare la macchina rendendola instabile e in molti casi non fruibile. Il malware sfrutta inoltre un certificato utile a farsi riconoscere come legittimo dal sistema, aggirando così blocchi preventivi, firmato dalla CHENGDU YIWO Tech Development Co. (gruppo a capo del software di data recovery EASUS). L’installazione del file Win32/KillDisk.NCV indica l’inizio delle attività del malware sul sistema.
