L’National Cyber Security Centre del Regno Unito ha diffuso una nuova allerta formale contro una campagna persistente di attacchi denial-of-service condotta da gruppi hacktivist pro-Russia ai danni di organizzazioni britanniche. L’avviso, che aggiorna e rafforza segnalazioni già emesse a partire dal 2023, descrive una minaccia continuativa, ideologicamente motivata, capace di provocare interruzioni operative rilevanti su servizi online pubblici, governi locali e, in prospettiva, infrastrutture critiche e tecnologie operative.
Secondo il NCSC, queste attività non hanno una finalità economica diretta, ma si inseriscono nel contesto delle tensioni geopolitiche seguite all’invasione dell’Ucraina da parte della Russia, con l’obiettivo dichiarato di punire e dissuadere i Paesi percepiti come ostili o allineati alla NATO. Il Regno Unito rientra stabilmente tra i target prioritari.
Cosa leggere
Il ruolo centrale di NoName057(16)
Tra i gruppi monitorati, il NCSC identifica NoName057(16) come l’attore più attivo e visibile. Attivo almeno dal marzo 2022, il collettivo ha costruito un modello operativo che combina mobilitazione ideologica, crowdsourcing degli attacchi e strumenti a bassa complessità tecnica ma ad alto impatto.
NoName057(16) coordina le proprie operazioni principalmente attraverso canali Telegram, dove vengono diffusi obiettivi, istruzioni operative e rivendicazioni. Il gruppo utilizza strumenti come DDoSia, un tool pensato per facilitare la partecipazione anche di soggetti non tecnici, trasformando la pressione ideologica in traffico malevolo distribuito. I partecipanti vengono incentivati tramite riconoscimenti pubblici e micro-ricompense, rafforzando la dimensione comunitaria dell’azione.
Il NCSC sottolinea che, pur non essendo formalmente controllati dallo Stato russo, questi gruppi risultano allineati agli interessi strategici di Mosca, contribuendo di fatto a un ecosistema di pressione ibrida che opera sotto la soglia del conflitto armato.
🔴 OSSERVATORIO INTELLIGENCE: APT & GEOPOLITICA LIVE
Attacchi DoS: bassa sofisticazione, alto impatto
Dal punto di vista tecnico, la maggior parte delle operazioni osservate rientra nella categoria degli attacchi DoS e DDoS volumetrici. Si tratta di campagne che mirano a esaurire le risorse di rete o di calcolo dei sistemi bersaglio, impedendo l’accesso ai servizi legittimi.
Il NCSC classifica queste tecniche come relativamente semplici, ma avverte che la loro efficacia non va sottovalutata. Quando colpiscono enti pubblici, autorità locali o fornitori di servizi essenziali, anche un’interruzione temporanea può generare costi operativi elevati, perdita di fiducia e impatti a cascata su cittadini e imprese.
Un elemento di crescente preoccupazione è l’evoluzione del targeting verso ambienti OT. Pur non essendo ancora prevalente, il tentativo di interferire con sistemi industriali e infrastrutture fisiche segnala una possibile escalation, soprattutto se queste tecniche venissero combinate con vulnerabilità note o con errori di configurazione.
Operation Eastwood e i limiti dell’azione repressiva
Nel luglio 2025, un’operazione coordinata di law enforcement denominata Operation Eastwood ha colpito direttamente NoName057(16), portando ad arresti mirati e sequestri di infrastrutture utilizzate per le campagne DDoS. Secondo il NCSC, l’operazione ha effettivamente ridotto l’intensità delle attività nel breve periodo.
Tuttavia, l’allerta evidenzia anche i limiti strutturali di questo tipo di interventi. I principali operatori del gruppo rimangono fisicamente in Russia, fuori dalla portata immediata delle autorità occidentali, e la natura distribuita dell’hacktivismo consente una rapida ricostituzione delle capacità. Nel giro di settimane, le attività sono riprese, seppur con adattamenti tattici.
Questo elemento rafforza la valutazione del NCSC: la minaccia non è episodica, ma persistente, e richiede una risposta basata soprattutto su resilienza e preparazione, non solo su repressione penale.
I settori più colpiti nel Regno Unito
Le analisi del NCSC mostrano una concentrazione degli attacchi su governi locali, enti pubblici e organizzazioni che forniscono servizi online a elevata visibilità. Tuttavia, l’agenzia segnala un interesse crescente anche verso settori critici, tra cui utilities, trasporti e infrastrutture digitali di supporto.
Il criterio di selezione non è casuale, ma ideologico. Gli hacktivist dichiarano apertamente di colpire entità percepite come sostenitrici dell’Ucraina o come parte dell’ecosistema NATO. Questo rende il Regno Unito un target strutturale, indipendentemente dal singolo evento contingente.
Raccomandazioni del NCSC: resilienza prima di tutto
L’allerta del NCSC non si limita alla descrizione della minaccia, ma fornisce una serie di indicazioni operative concrete, disponibili gratuitamente, per rafforzare la difesa contro gli attacchi DoS.
Il punto chiave è l’adozione di difese upstream, in collaborazione con ISP e provider di servizi di mitigazione DDoS, per bloccare il traffico malevolo prima che raggiunga l’infrastruttura interna. L’uso di CDN e architetture multi-provider consente di distribuire il carico e ridurre i single point of failure.
Il NCSC insiste anche sulla scalabilità rapida delle risorse, sfruttando cloud auto-scaling, virtualizzazione e capacità di riserva, e sulla definizione di piani di risposta che prevedano una degradazione controllata dei servizi, mantenendo operative le funzioni essenziali.
Un altro aspetto centrale è il monitoraggio continuo, per individuare segnali precoci di attacco e reagire prima che il sovraccarico diventi critico. Test regolari e simulazioni di attacco sono considerati fondamentali per validare l’efficacia delle difese.
La dimensione geopolitica della minaccia
Il NCSC colloca esplicitamente questa campagna nel quadro della cyber-conflittualità legata alla guerra in Ucraina, sottolineando come l’hacktivismo pro-Russia rappresenti una forma di pressione asimmetrica e a basso costo, ma con effetti reali sull’economia e sulla stabilità digitale.
La minaccia non riguarda solo il Regno Unito. Le stesse tattiche sono state osservate contro altri Paesi europei e membri della NATO, confermando che si tratta di un fenomeno transnazionale, destinato a persistere finché resteranno irrisolte le tensioni geopolitiche di fondo.
In questo contesto, il messaggio del NCSC è netto: la domanda non è se nuovi attacchi avverranno, ma quanto saranno preparate le organizzazioni a resistere senza interrompere i servizi essenziali.
Domande frequenti su Ncsc e attacchi hacktivist russi
Perché il Ncsc considera questi attacchi una minaccia sistemica?
Perché sono continui, ideologicamente motivati e inseriti in un contesto geopolitico che rende il Regno Unito un bersaglio stabile, non occasionale.
Chi è NoName057(16)?
È un gruppo hacktivist filo-russo attivo dal 2022, specializzato in attacchi DoS coordinati tramite Telegram e strumenti di crowdsourcing.
Gli attacchi DoS sono davvero pericolosi se sono poco sofisticati?
Sì, perché anche tecniche semplici possono causare interruzioni significative quando colpiscono servizi pubblici e infrastrutture digitali critiche.
Come possono le organizzazioni difendersi efficacemente?
Adottando difese upstream, architetture ridondanti, scalabilità rapida e piani di risposta pensati per mantenere operativi i servizi essenziali anche sotto attacco.
Iscriviti a Matrice Digitale
Ricevi le notizie principali direttamente nella tua casella di posta.
Niente spam, disiscriviti quando vuoi.
