NoName057 torna all'attacco

A novembre 2025, NoName057(16) ha ripreso una campagna di attacchi distributed denial-of-service contro l'infrastruttura critica europea dopo l'annuncio politico di un aumento del sostegno governativo all'Ucraina. Questo gruppo, autodefinitosi collettivo hacktivista pro-russo, ha escalato da semplici attacchi volumetrici a strategie di attacco multi-vettore sofisticate progettate per eludere il rilevamento e la mitigazione tradizionali.

Quello che rende questa campagna notevole non è solo la sua scala—gestendo oltre 10.000 siti web simultaneamente target—ma la sofisticazione tecnica impiegata dagli attaccanti per superare le misure difensive.

Scala: una rete di migliaia

La capacità operativa attuale di NoName057 si estende su più nazioni. Mantengono infrastrutture di attacco attive colpendo:

• Siti web dell'amministrazione pubblica in 5+ paesi europei
• Operatori di infrastrutture critiche (servizi, telecomunicazioni)
• Istituzioni finanziarie e processori di pagamento
• Organizzazioni di media e broadcasting
• Organizzazioni del settore privato ritenute "allineate con la NATO"

Il puro volume—oltre 10.000 siti web gestiti dalla loro infrastruttura botnet—rappresenta un livello senza precedenti di capacità di attacco coordinato per un gruppo di minacce non statale.

Evoluzione: dal semplice al sofisticato

Generazione 1: semplicità volumetrica

Le prime campagne di NoName057 si affidavano ad approcci diretti:

• Inondazioni di larghezza di banda su larga scala (>100 Gbps)
• Attacchi a vettore singolo (inondazioni HTTP, amplificazione UDP)
• Durata operativa limitata (ore a giorni)
• Rilevamento facile attraverso firme di anomalie del traffico

Generazione 2: complessità polimorfa

Gli attacchi attuali combinano molteplici metodologie simultaneamente:

• Attacchi Layer 3/4: Inondazioni volumetriche utilizzando nodi botnet compromessi
• Attacchi Layer 7: Exploit a livello applicativo che mirano a logica backend specifica
• Approcci ibridi: Combinazione di inondazioni HTTP con attacchi in stile slowloris per esaurire i pool di connessioni
• Tattiche di evasione: Commutazione rapida di protocollo, offuscamento del payload e variazione dinamica dell'impronta

Attribuzione: analisi geografica e infrastrutturale

Attraverso l'analisi del traffico e l'aggregazione di intelligence, osserviamo modelli di origine degli attacchi:

• 39 paesi che forniscono traffico di attacco (molti computer compromessi nell'Europa orientale, Russia, Asia centrale)
• 35+ Autonomous System Numbers (ASN) utilizzati come trampolini
• 43 stringhe User-Agent distinte impiegate per simulare il traffico di browser legittimi
• Molteplici variazioni di payload negli header HTTP, contenuto del corpo e modelli di timing delle richieste

Questa infrastruttura decentralizzata rende insufficiente il blocco tradizionale basato su IP—l'attacco ha origine da ISP legittimi, molti dei quali ospitano machine inconsapevolmente parte della botnet.

Innovazione tecnica: botnet-as-a-service

NoName057 opera un modello operativo unico: partecipazione botnet democratizzata. Il gruppo distribuisce software che qualsiasi simpatizzante può installare su infrastrutture compromesse o prese in prestito:

• Facilità di partecipazione: Sistemi command-and-control con interfacce semplici, nessuna competenza tecnica richiesta
• Resilienza attraverso distribuzione: Chiudere un nodo C2 ha un impatto minimo a causa del coordinamento simile a P2P
• Negabilità plausibile: I partecipanti possono affermare innocenza ("il software è stato installato da qualcun altro")
• Scalabilità rapida: Le nuove "reclute" possono essere onboard in ore, espandendo la capacità esponenzialmente

Sfida della difesa: fingerprinting statistico

La mitigazione DDoS tradizionale—blocco per IP, User-Agent o geolocalizzazione—fallisce contro attacchi polimorfi che utilizzano infrastrutture diverse. La difesa rivoluzionaria richiede isolamento statistico e analisi comportamentale:

Fingerprinting delle richieste

Ogni utente legittimo lascia un'"impronta" di tratti comportamentali:

• Modelli di frequenza e timing delle richieste
• Ordinamento e valori degli header HTTP
• Suite cipher e estensioni TLS/SSL
• Tratti a livello di dispositivo (risoluzione dello schermo tramite JavaScript, rendering dei caratteri)
• Flusso di navigazione (pagina di ingresso, richieste successive, modello di uscita)

I bot di NoName057, nonostante User-Agent variabili e IP di origine, mostrano pattern statisticamente rilevabili che divergono dalla navigazione umana legittima.

Isolamento e discriminazione

Confrontando le popolazioni di richieste, i difensori possono automaticamente:

• Raggruppare richieste legittime (umani con modelli prevedibili)
• Identificare popolazioni outlier (attacchi con comportamento sincronizzato)
• Applicare risposte consapevoli del contesto: Rate-limiting cluster identificati target, non singoli IP

La stessa sofisticazione dell'attaccante—distribuendo infrastrutture diverse—diventa il suo punto debole: il coordinamento richiesto per eseguire attacchi lascia tracce statistiche.

Mitigazione rapida: riconoscimento dei pattern alla velocità

Le piattaforme di difesa moderne devono operare a scale temporali di millisecondi per intercettare gli attacchi di NoName057 prima che influiscano sulle prestazioni dell'applicazione:

• Raccolta in tempo reale: Aggregare 100.000+ richieste/secondo in modelli statistici
• Rilevamento basato su ML: Identificare anomalie entro 1-2 secondi dall'inizio dell'attacco
• Risposta automatizzata: Attivare profili di mitigazione (rate-limiting, CAPTCHA, sfide IP) senza intervento umano
• Raffinamento continuo: Apprendimento da ogni iterazione di attacco per anticipare le tattiche di evasione

Implicazioni per i difensori

Le organizzazioni che gestiscono oltre 10.000 siti web non possono fare affidamento sulla risposta manuale agli incidenti. Il futuro della difesa DDoS richiede:

• Analisi comportamentale su corrispondenza della firma — attacchi troppo diversi per regole semplici
• Automazione all'edge — decisioni di risposta prese a scale temporali di millisecondi
• Integrazione di threat intelligence — comprendere le capacità degli attaccanti informa la postura difensiva
• Resilienza psicologica — accettare che attacchi sofisticati si verificheranno, ma progettare sistemi per assorbirli in modo trasparente

L'evoluzione di NoName057 dimostra una verità critica: l'attaccante non è la limitazione—lo sono gli strumenti del difensore. Finché i cattivi attori possono accedere alla larghezza di banda e all'infrastruttura botnet, gli attacchi continueranno. La domanda non è se essere attaccati, ma quanto velocemente rilevare e neutralizzare minacce senza influire sugli utenti legittimi.