Cosa sappiamo dell’attacco hacker a Intesa San Paolo: la spiegazione della banca

La mattina del 12 gennaio un attacco hacker ha colpito Intesa SanPaolo e diversi portali e siti italiani. Tra questi, il ministero degli Esteri e delle Infrastrutture, il sito di Consob, Carabinieri, Marina e Aeronautica. L'attacco è stato rivendicato dal collettivo No Name 057 su Telegram, il gruppo, formato da hacker filorussi, da tempo porta avanti azioni di guerrilla online. Il 28 dicembre, per esempio, avevano colpito il sito dell’aeroporto di Milano – Malpensa, quello dello scalo di Milano – Linate, e anche quello del Ministero degli Esteri e di Federtrasporto.

Portano avanti attacchi di tipo DDoS (Distributed Denial of Service), moltiplicano gli accessi a un sito con l'obiettivo di intasare il server che lo ospita. I disservizi non durano a lungo e raramente causano danni significativi. E infatti, come ha spiegato il portavoce di Intesa SanPaolo a Fanpage.it "nel weekend a livello di cybersecurity non c'è stato alcun impatto, né sull'app, né sul sito, non è stata intaccata l'operatività online". Il collettivo No Name 057, infatti, ha colpito domini minori, come proprieta.intesasanpaolo.com.

Cosa è successo durante l'attacco hacker

Secondo NoName 057 l'attacco sarebbe iniziato intorno alle 10.30 del mattino. Sul canale Telegram il gruppo ha pubblicato una lista di siti che avrebbe oscurato, tra questi anche quello di Intesa SanPaolo. Abbiamo effettuato diversi test nella giornata di domenica, ma la pagina ufficiale della banca è sempre risultata attiva. Siamo di fronte infatti ad attacchi blandi, più dimostrativi che effettivamente dannosi.

Gli hacker hanno anche rivendicato attacchi al sito del servizio idrico di Novara e a quello del porto di Trieste. Non solo, sabato 11 gennaio avrebbero colpito il sito ministero degli Esteri e delle Infrastrutture, oltre a quello della Consob, Carabinieri, Marina, Aeronautica, diverse aziende del trasporto pubblico locale e la banca Monte dei Paschi di Siena. 

Nell'ultimo attacco sembra che NoName 057 non abbia colpito da solo. Per la prima volta è stata segnalata un'azione coordinata con Alixsec, gruppo pro-palestinese. La mattina del 12 gennaio il collettivo ha infatti preso di mira i siti di Olidata, Skillbill e Zucchetti. I risultati dell'attacco combinato sono stati pubblicati sul canale Telegram. L'attacco, spiega NoName, ha voluto “punire” l’Italia dopo il sostegno espresso dalla premier Giorgia Meloni al presidente ucraino Volodomyr Zelensky: “L’Italia dovrebbe iniziare ad aiutare sé stessa e, prima di tutto, la propria sicurezza informatica”, hanno scritto su Telegram.

Come funziona il gruppo NoName057

Il collettivo NoName057 è un gruppo di attivisti filorussi che utilizza attacchi hacker molto semplici per coordinare azioni di disturbo. La dinamica è sempre la stessa: viene annunciato un obiettivo, di solito il portale online di un’istituzione, e poi cominciano una serie di attacchi di tipo DDoS (Distributed Denial of service). Si presentano come un gruppo di hacker che vuole difendere gli interessi della Russia, ormai gli attacchi di NoName dal 2022 avvengono con cadenza regolare.

Non rubano mai dati, non intaccano infrastrutture strategiche, e non danneggiano le istituzioni. Il più grande risultato per gli attivisti è portare a casa un trofeo da esibire. Dopo ogni ondata di attacchi infatti regolarmente vengono pubblicati sui gruppi Telegram messaggi autocelebrativi e nuove minacce.