A cura di Stephanie Canè, Senior Security Advisor
L’11 maggio scorso il gruppo hacker Killnet ha attaccato per la prima volta diversi portali italiani tra cui alcuni appartenenti alle nostre istituzioni (dal Senato al ministero della Difesa, dall’Istituto superiore di Sanità all’Automobile Club d’Italia). Da quel momento sono state decine gli attacchi perpetrati a danno di numerosi portali italiani, tutti preannunciati e poi rivendicati sul canale Telegram del gruppo criminale.
L’ultima minaccia pubblicata sul canale Telegram del gruppo risale al 28 maggio e riporta: “30 maggio - 05:00 il punto d'incontro è l'Italia!”, secondo quando affermato verrà inflitto "Un colpo irreparabile all'Italia". Al momento non è ancora chiaro quali siano i target che verranno coinvolti, il team del CSIRT italiano ha diramato tempestivamente un allarme invitando aziende ed istituzioni ad elevare le proprie difese e a monitorare attività di rete sospette.
Killnet è uno dei più attivi gruppi di hacker responsabile di numerosi attacchi in tutto il mondo: principalmente si tratta di attacchi di tipo Distributed Denial of Service (DDoS) il cui obiettivo è quello di compromettere la disponibilità dei siti colpiti esaurendone le risorse mediante l’invio di grandi quantità di dati da parte di fonti diverse, causando un'interruzione dei servizi che impedisce l'utilizzo dei sistemi. I target sono molteplici: dalle istituzioni agli aeroporti, dalle banche ai sistemi automobilistici. Il DDoS è l’evoluzione del Denial of Service (DoS) che si differenzia dal primo in quanto in questo caso la sorgente da cui provengono le richieste fasulle per sovraccaricare il sistema sotto attacco è unica. Gli effetti di un DoS e di un DDoS possono durare da poche ore a diversi giorni a seconda della prontezza nella mitigazione.
Il primo attacco diretto ai portali italiani è stato perpetrato l’11 maggio 2022 attraverso Blood, un software creato unicamente per scopi educativi, pubblicamente disponibile su GitHub e purtroppo a disposizione anche di chi non ha in mente solo un esercizio accademico. E’ stato infatti utilizzato per generare un Denial of Service. Generalmente lo strumento utilizzato dagli hacker per effettuare un attacco DDoS/DoS è una botnet, ovvero un insieme di computer compromessi da un software malevolo (malware) che permette agli attaccanti di prenderne il controllo e di fargli fare tutte le azioni che desiderano. Saranno dunque questi computer compromessi a inondare, inconsapevolmente, di richieste l’host vittima di un attacco DDoS.
Come proteggersi da questo tipo di attacchi?
Ci sono diverse strategie per proteggersi, ma bisogna tenere a mente che è più facile prevenire che curare. Una delle strategie che si può adoperare è quella di ridurre la superficie di attacco posizionando sistemi di bilanciamento del carico e limitando il traffico internet a determinate parti dell’infrastruttura, in modo da concentrare tutti gli sforzi di mitigazione in caso di attacco in specifici punti. Un altro approccio utilizzato è far sì che gli host accettino solo un numero di richieste pari a quelle che possono effettivamente gestire, in modo da non essere sovraccaricati. Esistono inoltre anche diversi servizi di protezione DDoS forniti da leader di mercato che consentono sia di monitorare la situazione che di mitigare in caso di attacco.
In alcune occasioni gli hacker hanno sferrato anche altri tipi di attacchi: ad esempio hanno sfruttato una vulnerabilità chiamata SQL Injection, ovvero una tecnica di iniezione del codice che permette all’attaccante di visualizzare, modificare ed eliminare dati (anche sensibili) a cui normalmente non dovrebbe essere in grado di accedere, causando un cambiamento persistente nel contenuto o nel comportamento dell’applicazione vittima. In questi casi lo scopo dell’attacco non è tanto quello di creare un disservizio nell’utilizzo dei sistemi ma quello di causare dei veri e propri data breach, prelevando e diffondendo informazioni sensibili.
Un'ulteriore minaccia sono gli APT State-Sponsored i cui attacchi non vengono preannunciati o resi noti facilmente. L’APT (Advanced Persistent Threat) è un threat actor che ha a disposizione sia elevate competenze tecniche che finanziarie, i cui obiettivi sono principalmente di natura politica ed economica. Tra i possibili APT si distinguono in particolare quelli State-Sponsored che sono finanziati direttamente da uno stato a scopo criminale.
Esistono diverse modalità di attacco perpetrate da diverse organizzazioni criminali e nessuna di queste deve essere sottovalutata.