Cyberattacco a X, Musk accusa l'Ucraina ma gli esperti lo smentiscono

Elon Musk ha detto di ritenere che il cyberattacco contro X – che ha provocato disservizi a più riprese alla piattaforma in tutto il mondo nella giornata di lunedì 10 marzo – sia partito da una serie di indirizzi IP nell'area dell'Ucraina. «Non siamo sicuri di cosa sia successo esattamente, ma l'attacco proveniva da indirizzi IP nell'area dell'Ucraina», ha detto. 

Nel giro di poche ore, è arrivata la rivendicazione di un gruppo di hacker noto come Dark Storm Team, eppure Musk ha nuovamente confermato che i responsabili sono in Ucraina. «Non sappiamo esattamente cosa sia successo, ma c'è stato un massiccio attacco informatico per cercare di abbattere il sistema X con indirizzi IP provenienti dall'Ucraina», ha dichiarato nel corso di un'intervista a Fox Business. Dark Storm Team è noto per i sofisticati attacchi di guerra informatica e per gli attacchi hacker a sistemi ad alta sicurezza. Secondo Orange Cyberdefense, il gruppo è stato formato nel 2023 e ha un focus filo-palestinese. Il mese scorso aveva anticipato in un post che avrebbe scatenato un'ondata di attacchi informatici sui siti web governativi dei Paesi della NATO, di Israele e delle nazioni che la sostengono.

Un'indagine di Wired rivela una realtà ben diversa da quella espressa da Musk. Gli esperti di sicurezza informatica intervistati non solo non hanno trovato prove di un coinvolgimento ucraino significativo, ma hanno anche individuato una grave vulnerabilità nei server di X, che avrebbe facilitato l'attacco. Il ricercatore di sicurezza indipendente Kevin Beaumont e altri analisti hanno individuato prove del fatto che alcuni «origin server» di X – quelli che rispondono alle richieste web – non erano adeguatamente difesi dalla protezione DDOS Cloudflare in possesso dell'azienda e che risultavano visibili al pubblico.

Gli esperti di analisi del traffico web che hanno seguito l'incidente hanno rapidamente sottolineato che gli attacchi che hanno colpito X – di tipo DDOS (distributed denial of service) – sono lanciati da una rete di computer coordinati, una cosiddetta botnet, che generalmente «bombarda» un obiettivo di traffico indesiderato nel tentativo di sovraccaricare e mettere fuori uso i suoi sistemi. Le botnet sono tipicamente distribuite in tutto il mondo, generano traffico a partire da indirizzi IP in posizioni geografiche diverse e possono sfruttare meccanismi che rendono più difficile determinare da dove sono controllate. Quindi, l'attribuzione dell'IP non è una prova definitiva. Un  ricercatore di un'importante azienda, che ha chiesto di restare anonimo, ha spiegato a Wired che dalle sue osservazioni l'Ucraina non figurava nemmeno tra i primi 20 Paesi d'origine degli indirizzi IP coinvolti negli attacchi alla piattaforma.

«Ciò che possiamo concludere dai dati IP è la distribuzione geografica delle fonti di traffico, che può fornire indicazioni sulla composizione della botnet o sull'infrastruttura utilizzata», ha infine aggiunto Shawn Edwards, responsabile della sicurezza informatica di Zayo, società che fornisce servizi per la connettività. «Ciò che non possiamo concludere con certezza è l'identità o l'intento dell'autore effettivo».