Un insieme di gruppi hacker russi ha attaccato ciberneticamente Lituania, Estonia, Lettonia e Polonia accusate di essere «complici del regime di Kiev».

Complessivamente, 16 gruppi di hacker provenienti da diversi paesi, tra cui Russia, Ucraina e altri, hanno partecipato all’attacco. Durante l’operazione, sono state prese di mira 127 diverse strutture situate nei Paesi Baltici e in Polonia, tra cui istituti bancari, organizzazioni governative, perfino, a quanto sembra, il sistema dei parchimetri.

Secondo quanto riportato il sito web del Ministero degli Affari Interni della Lettonia sarebbe stato violato, e sono state divulgate informazioni relative alla corrispondenza del dipartimento, ai dipendenti, alla polizia e ai documenti finanziari. I deputati baltici avrebbero ricevuto una mailing list SMS che parlava di denazificazione.

È stato pubblicato un manifesto sulle strutture compromesse con la dichiarazione: «la guerra terminerà solamente quando sarà sradicato l’ultimo individuo affiliato ai nazisti».

«Il nostro gruppo dichiara l’unione in un unico attacco contro i complici del regime di Kiev! Vendichiamo Pskov, la Crimea e il Donbass! Per tutti gli innocenti uccisi dai nazisti, e soprattutto per i bambini! La guerra finisce solo quando l’ultimo nazista viene distrutto! Esercito russo, avanti! Crediamo nella nostra vittoria! Per la libertà dell’Ucraina dal nazismo!»

BEREGINI

FROM pic.twitter.com/tdshZIflif

— Gabrielle Tigerman 🏴‍☠️💋 (@g_tigerman_113) September 5, 2023

Il 4 settembre, un gruppo di 16 gruppi di hacker ha annunciato l’hacking di infrastrutture come parte di un’operazione su larga scala contro i «complici degli attacchi ucraini» alla Russia. Successivamente, sul canale Telegram di Beregini, sono apparse informazioni secondo cui 30 gruppi si erano uniti all’attacco.

All’attacco avrebbero partecipato i gruppi Beregini, RaHDIt, Killnet, Zarya, Joker DPR, Wagner, XakNet Team, NoName057(16), Black Wolfs, BEAR.IT.ARMY, Voskhod, People’s CyberArmy, Patriot Black Matrix, DEADFOUD, Xecatsha, BEARSPAW.

Il leader del gruppo Joker DNR, intervistato dalla testata russa Izvestia, ha affermato che durante il massiccio attacco informatico del 4 settembre contro siti polacchi e baltici, gli hacker filo-russi hanno avuto accesso a tutte le strutture necessarie per gli attacchi.

«Come ogni sistema statale, è ben protetto dagli attacchi hacker, soprattutto da quelli occidentali. Ma, come si suol dire, non ci sono ostacoli per i patrioti russi. Noi hacker abbiamo lavorato nei luoghi più vulnerabili e abbiamo avuto accesso a tutte le strutture», ha affermato.

Rispondendo alla domanda sul perché fosse necessario hackerare i parchimetri, ha detto che paralizzando l’infrastruttura dei trasporti, gli hacker volevano mostrare «agli abitanti dei prosperi stati europei che il loro cosiddetto benessere è immaginario».

«I miei hacker riusciranno ad individuare assolutamente tutte le vulnerabilità. Non ci dimenticherete mai, la vittoria sarà nostra», ha dichiarato in conclusione il leader hacker.

Izvestia aveva parlato anche con altri membri di collettivi coinvolti come Zarya e Killnet.

Il portavoce di Zarya ha dichiarato che gli Stati baltici sono diventati l’obiettivo di un attacco informatico a causa del suo coinvolgimento negli attacchi ucraini alle strutture russe, aggiungendo che l’hacking del Ministero degli Affari Interni è «solo una piccola parte che è diventata pubblica come avvertimento».

Il portavoce di KillNet ha osservato che gli hacker russi si sono sempre sostenuti a vicenda, ma oggi è il momento di unirsi e «aprire una nuova pagina nella nostra grande storia».

Come riportato da Renovatio 21, a giungo alcuni gruppi hacker, tra cui Killnet, avevano promesso un attacco cibernetico che avrebbe preso di mira il sistema bancario europeo.

Pro-Russian hacktivist group KillNet, Anonymous Sudan, and REvil announced their plans to take down the entire European banking system within the next 48 hours.

"This is not a DDoS attack, the games are over. No money, no weapons, no Kiev regime — this is the formula for the… pic.twitter.com/to5RhxDif6

— Ian Miles Cheong (@stillgray) June 14, 2023

«Molte banche europee saranno bersagliate e colpite senza pietà» diceva il video-avvertimento. «Questo non è un attacco DDoS. I giochi sono finiti. Facciamo appello a tutti i gruppi attivi perché si coinvolgano in attività distruttive contro il sistema bancario europeo. Niente danaro, niente armi, niente regime di Kiev. Questa è la formula per la morte del nazismo e funzionerà» dichiarava il personaggio mascherato del gruppo KillNet.

Come riportato da Renovatio 21, anche un gruppo di hacker cinesi chiamato Volt Typhoon settimane prima avrebbe attaccato infrastrutture elettroniche delle forze armate americane nel Pacifico, in un’operazione dove forse l’obiettivo finale era prendere le misure per Taiwan.

Il colosso automobilistico giapponese Toyota ha annunciato che riprenderà le operazioni negli stabilimenti di assemblaggio nazionali mercoledì dopo un’interruzione di 24 ore causata da un problema tecnico.

L’azienda continua a indagare sulle cause dell’interruzione, iniziata lunedì che ha impedito a Toyota di evadere gli ordini di componenti.

Si prevede che la produzione ritornerà alla normalità in ciascuno dei suoi 14 stabilimenti in Giappone dall’inizio del secondo turno mercoledì, ha affermato la società.

Secondo i calcoli dell’agenzia Reuters, gli stabilimenti insieme rappresentano circa un terzo della produzione globale della casa automobilistica. Lo scorso anno Toyota ha consegnato quasi 10,5 milioni di automobili in tutto il mondo.

«A quanto ci risulta, il malfunzionamento del sistema non è stato causato da un attacco informatico. Tuttavia, continueremo a indagare sulle cause», ha affermato Toyota. «Ci scusiamo ancora una volta con i nostri clienti, fornitori e parti correlate per eventuali disagi causati dalla sospensione delle operazioni».

Nonostante la smentita, pare che un’offensiva cibernetica sia alla base del problema: le operazioni di Toyota sono state sospese per un giorno nel 2022 quando un fornitore, Kojima Industries, era stato colpito da un attacco informatico, causando problemi con l’ordinazione di componenti.

«È vero, abbiamo subito un attacco informatico. Stiamo ancora analizzando il danno e stiamo facendo in fretta a dare risposta, con la priorità assoluta di far ripartire il sistema produttivo Toyota il più presto possibile», ha detto alla testata economica nipponica Nikkei una fonte vicino a Kojima.

Il colosso automobilistico ha quindi ripreso le operazioni utilizzando una rete di riserva. Sarebbero fermi, in Giappone, 12 impianti su 14, tra cui le filiali Toyota Hino Motors e Daihatsu Motors.

La scelta dello stop, che impedirà la produzione di 10.000 veicoli (il 5% della produzione mensile) sarebbe stata presa dall’azienda al fine di ripristinare la perfetta funzionalità dei processi industriali.

L’attacco hacker risalirebbe allo scorso 28 febbraio. È stato sottolineato dai siti di cyber-security come sia anomalo il fatto che nel Dark Web pare non vi siano rivendicazioni per l’operazione da parte di gruppi hacker, facendo sospettare alcuni che potrebbe trattarsi, se non di un attacco ransomware opportunistico, di una manovra di guerra cibernetica di uno Stato-nazione.

Come riportato da Renovatio 21, la Repubblica Popolare Cinese ha dichiarato negli scorsi mesi la sua ira per il fatto che Tokyo ha aderito come primo Stato membro asiatico del Centro di eccellenza per la difesa informatica cooperativa (CCDCOE) della NATO, ossia il ramo del Patto Atlantico relativo alla guerra cibernetica. Seoul ha fatto la medesima scelta.

Anche il Nord Corea, come dimostrato più volte anche negli scorsi giorni, ha la possibilità di compiere grandi attacchi hacker. L’attacco alla major cinematografica Sony Pictures nel 2017, fu attribuito a Pyongyang come rappresaglia contro il film The Interview, dove Kim Jong-un veniva canzonato e pure ucciso brutalmente. Sull’origine nordcoreana dell’attacco permangono dei dubbi – il danno fatto all’azienda nippo-americana fu tuttavia immane.

La Toyota è stata per anni il più grande produttore di automobili al mondo, strappando il primato ai gruppi americani e tedeschi. Tuttavia, a livello di capitalizzazione, anche la grande azienda giapponese è stata in questi anni superata da Tesla, la cui crescita inarrestabile l’ha resa molto valevole in Borsa.

Colpire Toyota, azienda-simbolo del Paese, oltre che grande fattore per l’economia nazionale giapponese, avrebbe quindi una possibile motivazione geopolitica.

La Toyota è nota nel mondo per il sistema di organizzazione di produzione chiamato Kaizen (da 改 kai, cambiamento, e 善 zen, migliorìa), detto anche «Toyotismo», una sorta di metodo di miglioramento continuo che avrebbe consentito al progressivo perfezionamento dell’industria a partire dai suoi dipendenti, di modo da consentire una «qualità totale» del prodotto, una forza lavoro più ordinata e rilassata, e quindi la possibilità di riprogettare i processi e pure di operare sui prezzi delle auto.

Il Kaizen è ammirato e studiato in tutto il mondo, e anche in Italia si organizzano viaggi-studio per industriali che vanno ad apprenderne il funzionamento in Giappone; talvolta è capitato anche che qualche maestro cintura nera di Kaizen venga in Italia, certe volte con aria di oceanica saggezza un po’ annoiata, per cicli di incontri e conferenze con i capitani d’impresa che vogliono riformattare in senso nipponico l’operaio italiota.

Epperò tale operazione, qualcuno dice, potrebbe risultare talvolta di difficile attuazione.

Immagine di pubblico dominio CC0 via Wikimedia

Gli hacker nordcoreani del gruppo Kimsuky hanno tentato di attaccare una società sudcoreana che fornisce servizi di simulazione al computer per esercitazioni congiunte Corea del Sud-USA e hanno tentato di effettuare un attacco informatico contro infrastrutture militari, ha detto domenica l’agenzia di polizia provinciale di Gyeonggi Nambu.

«Il dipartimento investigativo sulla sicurezza dell’agenzia di polizia di Gyeonggi, a seguito dell’indagine sul caso dell’invio di diverse e-mail dannose nel febbraio-marzo di quest’anno… ha scoperto che dietro c’era Kimsuky», ha detto la polizia in una nota.
Gli hacker sono riusciti per la prima volta a inserire codice dannoso via e-mail nel computer di un impiegato amministrativo dell’azienda a gennaio, dopodiché hanno ottenuto i dati di altri dipendenti dell’azienda, si legge nella dichiarazione.

Successivamente, a febbraio, il gruppo di hacker ha inviato lettere ai dipendenti che fornivano servizi di simulazione al computer per le esercitazioni militari di Freedom Shield.

I dipendenti hanno cercato di aprire il file allegato che presumibilmente conteneva informazioni su problemi con le loro detrazioni fiscali, ma una rete di computer gestita dal Pentagono non ha permesso loro di aprire il file, ha aggiunto la dichiarazione.

Tuttavia, un certo numero di dipendenti dell’azienda ha inoltrato le lettere alla propria e-mail personale e ha aperto file dannosi dai propri computer, il che ha portato all’hacking dei loro dispositivi personali, ha osservato la polizia, aggiungendo che gli hacker nordcoreani non sono riusciti a ottenere informazioni militari.

La polizia, in collaborazione con le forze armate statunitensi, è stata in grado di determinare che l’attacco informatico riguardava indirizzi IP falsi utilizzati durante l’incidente del 2014, quando Kimsuky ha violato l’operatore sudcoreano di centrali idroelettriche e nucleari, KHNP.

Inoltre, le lettere utilizzavano espressioni caratteristiche della lingua nordcoreana, afferma la dichiarazione.

Precedentemente erano stati attribuiti a Pongyang gli attacchi cibernetici del Gruppo Lazarus, detto anche «Guardiani della Pace» o «Team Whois», che ha operato tra il 2010 e il 2021.

Un attacco notevole per cui il gruppo è noto è l’attacco del 2014 alla Sony Pictures, che ha utilizzato tecniche più sofisticate e ha evidenziato quanto il gruppo sia diventato avanzato nel tempo.

Il gruppo Lazarus avrebbe rubato 12 milioni di dollari dal Banco del Austro in Ecuador e 1 milione di dollari dalla banca vietnamita Tien Phong nel 2015. Gli stessi hacker avrebbero poi preso di mira anche banche in Polonia e in Messico.

Nel 2016 fu attribuita al Lazarus l’attacco cibernetica alla Bangladesh Bank, dove furono rubati con successo 81 milioni di dollari ed è stata attribuita al gruppo. Nel 2017, il gruppo Lazarus avrebbe rubato 60 milioni di dollari dalla Far Eastern International Bank di Taiwan, sebbene l’importo effettivo rubato non fosse chiaro e la maggior parte dei fondi fosse stata recuperata.

Il produttore russo di software antivirus Kaspersky ritiene tuttavia che potremmo essere dinanzi ad un «false flag» di guerra cibernetica, con tracce lasciate per fuorviare gli investigatori e assegnare l’attacco alla Corea del Nord.

Il produttore statunitense di software antivirus Symantec ha riferito nel 2017 che era «molto probabile» che Lazarus fosse dietro l’attacco del virus ransomware WannaCry.

È noto l’attacco informatico mondiale del worm WannaCry ha copiato anche le tecniche della NSA, l’agenzia di spionaggio informatico USA. Questo ransomware sfrutta un exploit della NSA noto come EternalBlue che un gruppo di hacker noto come Shadow Brokers aveva reso pubblico nell’aprile 2017.

Il Gruppo Kimsuky avrebbe attaccato il diffuso sistema di posta elettronica Gmail durante l’estate 2022, rubando dati della posta tramite estensioni del browser, dichiarò la società di cibersicurezza Volexity.

Come riportato da Renovatio 21, la Corea del Sud è entrata con il Giappone nel ramo di difesa cibernetica della NATO, scatenando le ire della Repubblica Popolare Cinese.

Un massiccio attacco cibernetico cinese avrebbe colpito la base americana di Guam, nel Pacifico, due mesi fa.