Attacchi DDoS

Attacchi all’Italia, i “russi” Killnet danno una lista dei target: ma attenti a non fare allarmismo

Anche Credit Agricole e Banca d’Italia nella nuova lista dei siti web italiani da colpire con attacchi DDoS. Killnet annuncia altri target, tra minacce e falsi allarmi. Analizziamo di cosa si tratta e perché è bene stare in guardia senza però fare il gioco di questi attaccanti

31 Mag 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Non ci sono stati ieri i “devastanti attacchi all’Italia” annunciati dal gruppo filo russo Killnet, ma le minacce continuano. Sono stati pubblicati poche ore fa i nuovi elenchi di obiettivi italiani, da prendere di mira come oggetto per gli attacchi informatici.

Banca d’Italia, CSIRT e aeroporti tra le strutture strategiche

Dalla serata di lunedì, il sottogruppo Legion, riconducibile al più ampio Killnet, sta pubblicando una lunga serie di indirizzi target sui quali concentrare le forze di attacco del gruppo, al fine di portare a termine gli attacchi DDoS, strumenti di disturbo dei quali il gruppo stesso di autoproclama “esperto”.

candidatura
Passione per la cybersecurity? Candidati per la squadra di IT & Cyber Security Governance di P4I!
Sicurezza
Cybersecurity

Attacchi DDoS e strategia cyber nazionale: ecco come mettere in sicurezza le nostre infrastrutture

La lista è composta di indirizzi IP, che fanno riferimento a server che ospitano i siti web italiani da prendere di mira. Ovviamente i soli indirizzi IP non ci danno la dimensione del problema e del rischio che potrebbe esporre l’infrastruttura Italia, ma ci siamo presi la briga di verificare quali domini internet risultano associati agli indirizzi IP segnalati dal gruppo criminale Legion e con essi abbiamo creato la tabella sottostante.

Indirizzi IPNomi di dominio
195.120.250.20www.neomedia.it.
5.175.52.29 cortedicassazione.itgarantenazionaleprivatiliberta.ittribunalesuperioreacque.it
5.152.246.164tesoro.it
194.79.207.128ecity.it – uni-voice.itunidata.it
151.13.11.188beawarebedigital.it
5.249.131.167corsidisub.it
80.64.127.105www.senato.it.
212.14.145.39www.poliziadistato.it.
54.154.229.84ec2-54-154-229-84.eu-west-1.compute.amazonaws.com.
195.32.69.40 fibra-veloce.itgfiber.it
89.46.107.239050chemicals.it
217.28.63.34retn.net
217.64.195.185360project.it
51.210.19.13allescalettebeb.it
80.68.196.21www.eurtel.net.
155.133.132.72alys.com
151.1.198.2itnet.it
46.254.39.133 acquistafacile.italbergolapieve.italeksandr.it
37.9.239.140www.seeweb.it.
185.170.39.2 145.it – vianova.app
51.38.59.36agenziaonline.online – antamyfashion.it
34.149.157.33.157.149.34.bc.googleusercontent.com.
51.104.28.73 4ev.co.ukaltitude-climbing.co.ukazbees.co.uk
212.162.68.90raisound.it.
79.143.188.240datacen.it
62.97.32.121 bresciafibra.iteir.netfibraotticabrescia.it
193.204.103.130www.ssdc.asi.it.
162.159.138.85 envmart.in – yogah.eu
13.37.145.162areaverda.barcelona – bonarea-agrupa.combonarea-assegura.com
35.246.6.109 1ac.it3cp-imagin.fr42test.com
212.35.202.92 anix.alinternetmanholecover.netixpservicedb.net
185.241.65.174forli-airport.com
85.159.192.76bancaditalia.it
158.191.163.134ca-cib.com
185.23.29.136aeroportoditorino.it
192.250.167.11 statestreet.comstatestreet.ch
46.37.10.133pisa-airport.it
176.221.48.13bologna-airport.it
151.22.70.121aeroportidelgarda.it
149.202.3.93aeroportipuglia.it
195.191.132.157 albulatunnel.chalpine-railway.ch
31.131.240.67milanomalpensa-airport.com
151.22.70.84 grupposave.itmarcopolodomani.it
15.197.156.102ancona-airport.com
93.93.163.207 aeroportodinapoli.itbenap.orgcapodichinoparking.it
18.67.65.81 

Quello che ne risulta è una lista di 46 indirizzi rilevanti per il panorama Paese. Ci sono un buon numero di aeroporti, tra cui Malpensa Milano e Bologna, che già nei precedenti attacchi hanno sofferto momenti di down, Forlì, Napoli e Puglia.

Salta sicuramente all’occhio Banca d’Italia, Credite Agricole e CSIRT tra le strutture strategiche italiane prese di mira che, al momento della scrittura, non sembrano dimostrare segnali di indisponibilità.

Inoltre per quanto riguarda l’attacco DDoS al CSIRT, sembrano concentrare maggiore attenzione su questo target tanto da condividere mappe e dettagli della dinamicità degli IP che contraddistingue tale struttura italiana.

La struttura interna di Killnet, Legion e i vari sottogruppi

Riportando quanto diffuso dai ricercatori di CyberKnow, l’organizzazione è gestita in maniera gerarchica e questa piramide viene rispettata anche per la composizione e gestione dei sotto-gruppi. Proprio a proposito dello studio dei sottogruppi di Killnet, CyberKnow ha rilasciato un utile diagramma che ne fa vedere l’analisi sulla base dei dettagli delle chat Telegram.

CyberKnow ha analizzato i canali gestiti da questo gruppo, concludendo che Killnet ha creato una struttura identica a quella di un’organizzazione convenzionale, stabilendo ranghi gerarchici, aree di lavoro, profili professionali e gruppi affiliati.

Polizia di Stato, Senato e providers presi di mira

Come misura dell’attacco, nella lista attuale, compaiono anche precedenti obiettivi già visti nell’attacco di poche settimane fa, che ha visto soffrire per oltre 36 ore il sito della Polizia di Stato e del Senato. Questi target sono stati ripetuti anche in questa seconda ondata, occorre a questo punto monitorare la situazione per capire se ci sarà un attacco di successo tra quelli elencati, nelle prossime ore.

La novità è rappresentata da un interessante numero di Internet Providers italiani, presi di mira stavolta, per la prima volta, tra i quali SeeWeb, NeoMedia e Vianova. Si aggiunge inoltre RAI Sound e alcuni indirizzi visibilmente coperti da servizi di CDN che, presumibilmente vanificheranno gli eventuali attacchi, lasciando i siti web al sicuro.

Pochi servizi indipendenti

Dalla tabella sopra inoltre, appare visivamente un dettaglio sulla struttura interna di alcuni siti web nostrani. Nello specifico è interessante notare quanti, dietro un unico server (indirizzo IP), ospitano di fatto molteplici siti web, nella maggior parte dei casi senza alcun servizio di protezione tra l’IP pubblico, il server e il nome di dominio, che proprio in casi come questi, potrebbero fare la differenza nella resistenza agli attacchi DDoS. Tralasciando ovviamente quelli che sono semplicemente domini di redirect (allo stesso sito web), in altri casi ci sono siti web differenti sotto lo stesso indirizzo IP, presumibilmente perché facenti parte della stessa organizzazione. Un servizio CDN, misura anche suggerita dai recenti bollettini CSIRT, aiuterebbero a non sottoporre il server di hosting interessato, a ondate di traffico eccessivo, illecito, che potrebbe bloccarlo.

Le minacce all’Italia dalle 5.00 del mattino, nulla di fatto

È della serata di sabato appena trascorso il primo alert che il gruppo Killnet, poi condiviso anche dalla sua costola Legion, ha lanciato sul proprio canale Telegram atto a minacciare l’Italia e le nostre infrastrutture tecnologiche.

Un messaggio che in italiano suona più o meno così “il punto d’incontro tra il nostro collettivo e Anonymous è l’Italia, dalle 5.00 del 30 maggio”.

C’è da preoccuparsi? Sì e no

Niente di fatto, quindi, per quanto riguardo il seguito di queste minacce che hanno fatto alzare l’allerta di diversi livelli delle istituzioni nostrane, spingendo persino il Computer Security Incident Response Team (CSIRT) italiano a emettere un bollettino sulla vicenda, invitando le infrastrutture, private e pubbliche, ad innalzare il proprio livello di protezione per la possibile minaccia incombente.

In particolare Csirt, quindi il Governo, segnala che nel mirino possono essere tre tipi di soggetti

  • soggetti nazionali pubblici,
  • soggetti privati che erogano un servizio di pubblica utilità o
  • soggetti privati la cui immagine si identifica con il paese Italia.

È giusto, come dice Csirt, tenere alta la guardia e correggere le vulnerabilità segnalate e attuare le misure di mitigazione.

L’Italia nel mirino di attacchi DDOS, come difendersi: i consigli CSIRT

Al tempo stesso, correttamente Franco Gabrielli, sottosegretario di Stato e autorità delegata alla sicurezza, ha detto di non fare allarmismo; sono attacchi DDOS e come tali non minano l’integrità delle informazioni o dei sistemi. Come insegna il caso delle minacce vuote di ieri, questi attivisti raggiungono un risultato anche solo quando suscitano allarme. 

Il loro obiettivo è destabilizzare la fiducia pubblica nel sistema Paese; non danneggiare realmente. Questa è la finalità di info-war dei Ddos, in un arsenale che tipicamente include anche fake news e disinformazione.

Insomma: in guardia sì, ma non facciamo il loro gioco.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Articolo 1 di 5