Attacchi DDOS

Nuovo attacco russo a siti istituzionali italiani, disservizi diffusi: cosa sta succedendo

Il sito del Ministero degli Esteri e quello del CSM sembrano essere tra i più colpiti da uno sciame di attacchi contro le istituzioni italiane e aeroporti, annunciati dal gruppo criminale filo-russo KillNet. Ma secondo l’esperto di cyber security Corrado Giustozzi, è solo “rumore di fondo”: il peggio potrebbe ancora arrivare

20 Mag 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Ministero degli Esteri, Consiglio Superiore della Magistratura, Senato e Ministero della Difesa sono alcuni dei siti web istituzionali italiani che, in queste ore, stanno soffrendo momenti di grande rallentamento, con anche brevi down che stanno provocando un’altalena di disservizi diffusi, a causa degli attacchi che stanno prendendo di mira il nostro Paese.

Aggiornamento 23.30: l’attacco ha preso di mira i servizi di trasporto pubblico e con essi gli aeroporti italiani. Risultano in queste ore inaccessibili o con gravi rallentamenti i siti web degli aeroporti di Milano Malpensa e Linate, Genova, Rimini, Milano Bergamo e Olbia (società Geasar).

Il gruppo Legion ha annunciato l’attacco

È nella serata di ieri (19 maggio) che i cyber criminali di Legion, costola di attivismo nata per lo più da membri del gruppo KillNet, hanno lanciato delle precise minacce contro l’Italia sul loro canale Telegram .

WHITEPAPER
I documenti aziendali che condividi durante le video riunioni online sono davvero al sicuro?
Amministrazione/Finanza/Controllo
CIO

Inoltre, dalle conversazioni emergono anche liste precise di siti web target da prendere di mira tra i quali settore energia, trasporti, stampa, enti locali, ministeri e comunicazioni.

Secondo Corrado Giustozzi, esperto e pioniere della cyber security e già scelto dalla Rai per monitorare gli attacchi informatici durante l’Eurovision 2022, “quello a cui stiamo assistendo in queste ore è più che altro un rumore di fondo. L’attacco in corso sembra essere condotto da gruppi autonomi organizzati in modo poco strutturato e che non rappresentano il braccio armato cyber del Cremlino”. Insomma, la macchina da guerra cyber di Putin non sembra essersi ancora mossa e gli attacchi DDoS a cui stiamo assistendo sembrerebbero essere solo le prime avvisaglie di attività molto più pesanti e invasive.

Alcuni siti web sono già non disponibili

 Dal monitoraggio effettuato rileviamo disservizi momentanei che colpiscono, presumibilmente proprio a causa della fase iniziale degli attacchi DDoS, Ministero degli Esteri e CSM (Consiglio Superiore della Magistratura). Altri siti rilevano importanti ed evidenti rallentamenti che causeranno, seppur rimanendo disponibili al pubblico, disservizi per l’utenza che incontrerà difficoltà nell’erogazione delle attività online.

La giornata di oggi è dunque segnata da un’allerta generalizzata un po’ in tutti i settori della Pubblica Amministrazione e organizzazioni private di rilievo strategico per la macchina statale.

Il nostro CSIRT lancia l’allarme

Uno degli ultimi bollettini del Computer Security Incident Response Team (CSIRT) italiano allerta organizzazioni e istituzioni nostrane proprio al rischio di attacchi DDoS contro l’Italia. Dopo le già elencate azioni di mitigazione per attacchi di questo tipo, anche in risposta dell’importante disservizio creato nei confronti del sito web della Polizia di Stato, un ulteriore bollettino rilancia l’allerta per attacchi di negazione del servizio, rivolti a soggetti nazionali.

Tra le azioni che CSIRT suggerisce si evidenzia che una attività di monitoraggio puntuale può far accendere un campanello d’allarme. Nello specifico, tra i punti da monitorare vengono segnalati:

  1. la presenza di picchi di traffico UDP e TCP anomalo (in ogni caso superiore alla normale baseline di utilizzo delle risorse interessate);
  2. la presenza di chiamate HTTP malformate (versione HTTP non valida, assenza del carattere CRLF);
  3. la presenza di volumi anomali di chiamate provenienti da indirizzi IP appartenenti a servizi di anonimizzazione (rete Tor, proxy anonimi);
  4. la presenza di chiamate riconducibili ad attacchi di tipo ICMP flood, SYN flood e TCP RST.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5