Non ci sono stati ieri i “devastanti attacchi all’Italia” annunciati dal gruppo filo russo Killnet, ma le minacce continuano. Sono stati pubblicati poche ore fa i nuovi elenchi di obiettivi italiani, da prendere di mira come oggetto per gli attacchi informatici.
Indice degli argomenti
Banca d’Italia, CSIRT e aeroporti tra le strutture strategiche
Dalla serata di lunedì, il sottogruppo Legion, riconducibile al più ampio Killnet, sta pubblicando una lunga serie di indirizzi target sui quali concentrare le forze di attacco del gruppo, al fine di portare a termine gli attacchi DDoS, strumenti di disturbo dei quali il gruppo stesso di autoproclama “esperto”.
Attacchi DDoS e strategia cyber nazionale: ecco come mettere in sicurezza le nostre infrastrutture
La lista è composta di indirizzi IP, che fanno riferimento a server che ospitano i siti web italiani da prendere di mira. Ovviamente i soli indirizzi IP non ci danno la dimensione del problema e del rischio che potrebbe esporre l’infrastruttura Italia, ma ci siamo presi la briga di verificare quali domini internet risultano associati agli indirizzi IP segnalati dal gruppo criminale Legion e con essi abbiamo creato la tabella sottostante.
| Indirizzi IP | Nomi di dominio |
| 195.120.250.20 | www.neomedia.it. |
| 5.175.52.29 | cortedicassazione.it – garantenazionaleprivatiliberta.it – tribunalesuperioreacque.it |
| 5.152.246.164 | tesoro.it |
| 194.79.207.128 | ecity.it – uni-voice.it – unidata.it |
| 151.13.11.188 | beawarebedigital.it |
| 5.249.131.167 | corsidisub.it |
| 80.64.127.105 | www.senato.it. |
| 212.14.145.39 | www.poliziadistato.it. |
| 54.154.229.84 | ec2-54-154-229-84.eu-west-1.compute.amazonaws.com. |
| 195.32.69.40 | fibra-veloce.it – gfiber.it |
| 89.46.107.239 | 050chemicals.it |
| 217.28.63.34 | retn.net |
| 217.64.195.185 | 360project.it |
| 51.210.19.13 | allescalettebeb.it |
| 80.68.196.21 | www.eurtel.net. |
| 155.133.132.7 | 2alys.com |
| 151.1.198.2 | itnet.it |
| 46.254.39.133 | acquistafacile.it – albergolapieve.it – aleksandr.it |
| 37.9.239.140 | www.seeweb.it. |
| 185.170.39.2 | 145.it – vianova.app |
| 51.38.59.36 | agenziaonline.online – antamyfashion.it |
| 34.149.157.3 | 3.157.149.34.bc.googleusercontent.com. |
| 51.104.28.73 | 4ev.co.uk – altitude-climbing.co.uk – azbees.co.uk |
| 212.162.68.90 | raisound.it. |
| 79.143.188.240 | datacen.it |
| 62.97.32.121 | bresciafibra.it – eir.net – fibraotticabrescia.it |
| 193.204.103.130 | www.ssdc.asi.it. |
| 162.159.138.85 | envmart.in – yogah.eu |
| 13.37.145.162 | areaverda.barcelona – bonarea-agrupa.com – bonarea-assegura.com |
| 35.246.6.109 | 1ac.it – 3cp-imagin.fr – 42test.com |
| 212.35.202.92 | anix.al – internetmanholecover.net – ixpservicedb.net |
| 185.241.65.174 | forli-airport.com |
| 85.159.192.76 | bancaditalia.it |
| 158.191.163.134 | ca-cib.com |
| 185.23.29.136 | aeroportoditorino.it |
| 192.250.167.11 | statestreet.com – statestreet.ch |
| 46.37.10.133 | pisa-airport.it |
| 176.221.48.13 | bologna-airport.it |
| 151.22.70.121 | aeroportidelgarda.it |
| 149.202.3.93 | aeroportipuglia.it |
| 195.191.132.157 | albulatunnel.ch – alpine-railway.ch |
| 31.131.240.67 | milanomalpensa-airport.com |
| 151.22.70.84 | grupposave.it – marcopolodomani.it |
| 15.197.156.102 | ancona-airport.com |
| 93.93.163.207 | aeroportodinapoli.it – benap.org – capodichinoparking.it |
| 18.67.65.81 |
Quello che ne risulta è una lista di 46 indirizzi rilevanti per il panorama Paese. Ci sono un buon numero di aeroporti, tra cui Malpensa Milano e Bologna, che già nei precedenti attacchi hanno sofferto momenti di down, Forlì, Napoli e Puglia.
Salta sicuramente all’occhio Banca d’Italia, Credite Agricole e CSIRT tra le strutture strategiche italiane prese di mira che, al momento della scrittura, non sembrano dimostrare segnali di indisponibilità.
Inoltre per quanto riguarda l’attacco DDoS al CSIRT, sembrano concentrare maggiore attenzione su questo target tanto da condividere mappe e dettagli della dinamicità degli IP che contraddistingue tale struttura italiana.
La struttura interna di Killnet, Legion e i vari sottogruppi
Riportando quanto diffuso dai ricercatori di CyberKnow, l’organizzazione è gestita in maniera gerarchica e questa piramide viene rispettata anche per la composizione e gestione dei sotto-gruppi. Proprio a proposito dello studio dei sottogruppi di Killnet, CyberKnow ha rilasciato un utile diagramma che ne fa vedere l’analisi sulla base dei dettagli delle chat Telegram.
CyberKnow ha analizzato i canali gestiti da questo gruppo, concludendo che Killnet ha creato una struttura identica a quella di un’organizzazione convenzionale, stabilendo ranghi gerarchici, aree di lavoro, profili professionali e gruppi affiliati.
Polizia di Stato, Senato e providers presi di mira
Come misura dell’attacco, nella lista attuale, compaiono anche precedenti obiettivi già visti nell’attacco di poche settimane fa, che ha visto soffrire per oltre 36 ore il sito della Polizia di Stato e del Senato. Questi target sono stati ripetuti anche in questa seconda ondata, occorre a questo punto monitorare la situazione per capire se ci sarà un attacco di successo tra quelli elencati, nelle prossime ore.
La novità è rappresentata da un interessante numero di Internet Providers italiani, presi di mira stavolta, per la prima volta, tra i quali SeeWeb, NeoMedia e Vianova. Si aggiunge inoltre RAI Sound e alcuni indirizzi visibilmente coperti da servizi di CDN che, presumibilmente vanificheranno gli eventuali attacchi, lasciando i siti web al sicuro.
Pochi servizi indipendenti
Dalla tabella sopra inoltre, appare visivamente un dettaglio sulla struttura interna di alcuni siti web nostrani. Nello specifico è interessante notare quanti, dietro un unico server (indirizzo IP), ospitano di fatto molteplici siti web, nella maggior parte dei casi senza alcun servizio di protezione tra l’IP pubblico, il server e il nome di dominio, che proprio in casi come questi, potrebbero fare la differenza nella resistenza agli attacchi DDoS. Tralasciando ovviamente quelli che sono semplicemente domini di redirect (allo stesso sito web), in altri casi ci sono siti web differenti sotto lo stesso indirizzo IP, presumibilmente perché facenti parte della stessa organizzazione. Un servizio CDN, misura anche suggerita dai recenti bollettini CSIRT, aiuterebbero a non sottoporre il server di hosting interessato, a ondate di traffico eccessivo, illecito, che potrebbe bloccarlo.
Le minacce all’Italia dalle 5.00 del mattino, nulla di fatto
È della serata di sabato appena trascorso il primo alert che il gruppo Killnet, poi condiviso anche dalla sua costola Legion, ha lanciato sul proprio canale Telegram atto a minacciare l’Italia e le nostre infrastrutture tecnologiche.
Un messaggio che in italiano suona più o meno così “il punto d’incontro tra il nostro collettivo e Anonymous è l’Italia, dalle 5.00 del 30 maggio”.
C’è da preoccuparsi? Sì e no
Niente di fatto, quindi, per quanto riguardo il seguito di queste minacce che hanno fatto alzare l’allerta di diversi livelli delle istituzioni nostrane, spingendo persino il Computer Security Incident Response Team (CSIRT) italiano a emettere un bollettino sulla vicenda, invitando le infrastrutture, private e pubbliche, ad innalzare il proprio livello di protezione per la possibile minaccia incombente.
In particolare Csirt, quindi il Governo, segnala che nel mirino possono essere tre tipi di soggetti
- soggetti nazionali pubblici,
- soggetti privati che erogano un servizio di pubblica utilità o
- soggetti privati la cui immagine si identifica con il paese Italia.
È giusto, come dice Csirt, tenere alta la guardia e correggere le vulnerabilità segnalate e attuare le misure di mitigazione.
L’Italia nel mirino di attacchi DDOS, come difendersi: i consigli CSIRT
Al tempo stesso, correttamente Franco Gabrielli, sottosegretario di Stato e autorità delegata alla sicurezza, ha detto di non fare allarmismo; sono attacchi DDOS e come tali non minano l’integrità delle informazioni o dei sistemi. Come insegna il caso delle minacce vuote di ieri, questi attivisti raggiungono un risultato anche solo quando suscitano allarme.
Il loro obiettivo è destabilizzare la fiducia pubblica nel sistema Paese; non danneggiare realmente. Questa è la finalità di info-war dei Ddos, in un arsenale che tipicamente include anche fake news e disinformazione.
Insomma: in guardia sì, ma non facciamo il loro gioco.
