Lo scorso 5 novembre l’Agenzia per la Cybersicurezza Nazionale (ACN) ha rilasciato un comunicato stampa circa le attività di monitoraggio condotte sulla disponibilità e lo stato operativo dei siti istituzionali, quali ministeri, autorità, agenzie, organi costituzionali e altre organizzazioni che gestiscono servizi essenziali per i cittadini.
Il Computer Security Incident Response Team (CSIRT) Italia dell’Agenzia ha segnalato un aumento degli attacchi DDoS (Distributed Denial of Service) ai danni di soggetti istituzionali nazionali.
Questa intensificazione di offese informatiche alle nostre infrastrutture critiche è portata avanti per la maggior parte, come affermato anche dall’ACN, da gruppi hacker russi, i quali per il momento starebbero indirizzando attacchi “dimostrativi” che non avrebbero portato ad alcuna violazione dell’integrità e della riservatezza dei sistemi interessati.
Il CSIRT ha però affermato che con tutta probabilità tali attacchi si intensificheranno nei mesi a seguire e perciò invita le istituzioni pubbliche ad alzare il livello d’attenzione e sicurezza dei propri sistemi IT, valutando l’opzione di aumentare il livello di protezione dagli attacchi DDoS.
Indice degli argomenti
Attacchi DDoS: una minaccia da non sottovalutare
Il DDoS è una tipologia di attacco informatico tramite il quale si inonda un determinato server con traffico internet al fine di impedire l’accesso ai servizi da parte degli utenti.
Questa tipologia di minaccia cyber è in aumento in tutto il mondo e ha colpito alcune delle più grandi aziende globali, come Amazon Web Services nel febbraio del 2020, generando conseguenze finanziarie importanti e danni reputazionali alle vittime degli attacchi.
Inoltre, con il proliferarsi dell’Internet of Things (IoT), del remote working e l’impiego dell’intelligenza artificiale, tecnologie sempre più al centro dell’operatività aziendale così come della vita quotidiana, stanno aumentando anche i dispositivi connessi alla rete, aumentando consequenzialmente la superfice di attacco disponibile per i cyber criminali.
Le tecniche di attacchi DDoS possono essere di tipo volumetrico, diretto a saturare le capacità di banda a disposizione della vittima attraverso l’invio di enormi quantità di traffico generato comunemente da botnet composte da sistemi compromessi, o applicativo, indirizzato a saturare le risorse dei sistemi che erogano servizi web.
Attacchi DDoS: la tecnica Slow HTTP
Una tecnica, rilevata nel documento del CSIRT Italia in merito agli attacchi ai soggetti nazionali dall’11 maggio 2022, è quella denominata “Slow HTTP”.
Questa tecnica mira a intasare un server web inondandolo di richieste di connessione a velocità di trasmissione molto bassa.
Quest’azione costringe il server web a mantenere la connessione aperta per processare queste richieste mirate, saturando le risorse dedicate dal server alla comunicazione con i client esterni e pregiudicandone, pertanto, il funzionamento e la possibilità di accesso al sito o piattaforma.
Anche il Ministero della difesa è sotto attacco
Solo nel mese di dicembre, come riportato dal sito konbriefing.com, gli attacchi DDoS registrati a livello mondiale sono aumentati.
Per citarne alcuni si evidenziano i seguenti attacchi: al sito del Ministero dell’agricoltura italiano il 3 dicembre, al sito delle Forze Armate svedese il primo dicembre, alla banca russa VTB e al Ministero degli affari esteri cubano il 6 dicembre. Tali offese avrebbero reso momentaneamente irraggiungibili i siti web in questione.
In merito all’evento che ha visto colpito il Ministero dell’agricoltura, sembrerebbe che i criminali informatici abbiano lanciato l’attacco in reazione alle dichiarazioni del primo ministro italiano Giorgia Meloni circa la proroga del sostegno all’Ucraina, in termini di fornitura di armi, durante il conflitto con la Russia.
Il gruppo russo “No name 057” è stato individuato dal CSIRT tra i gruppi di hacker che operano contro l’Italia e altri soggetti nazionali in est e nord Europa.
Inoltre, gli attacchi informatici contro i siti web del governo italiano sono avvenuti pochi giorni dopo che il sito web ufficiale del Vaticano era andato offline a causa di un sospetto attacco informatico, avvenuto dopo le dichiarazioni di Papa Francesco sulla situazione dei diritti umani durante il conflitto.
L’ultima istituzione, in ordine di tempo, ad essere colpita è invece il Ministero della difesa. Sempre sul canale Telegram del gruppo “No name 057” è infatti apparso un nuovo post in cui gli hacktivisti filorussi annunciano di aver “deciso di punire il sistema di e-learning militare italiano”, indicando un elenco di link a nove differenti domini del Ministero.
Europa bersaglio degli hacktivisti filorussi
Motivazioni simili giustificherebbero l’attacco, sempre DDoS, al sito web del Parlamento Europeo del 23 novembre.
L’evento in questione si sarebbe verificato proprio dopo la votazione, presso il Parlamento, per l’adozione della risoluzione che ha dichiarato la Russia uno stato sponsor del terrorismo a causa dei suoi attacchi contro obiettivi civili in Ucraina.
La Presidente del Parlamento Europeo, Roberta Metsola, ha affermato che il sito web in questione è stato oggetto di un “sofisticato attacco informatico” da parte di un gruppo amico del Cremlino, che corrisponderebbe a Killnet, il quale ha rivendicato l’attacco in un post su Telegram.
Attacco DDoS anche contro lo CSIRT Italia
Lo stesso gruppo è ritenuto responsabile di un ulteriore attacco DDoS a danno proprio del CSIRT Italia, avvenuto a fine maggio di quest’anno, coinvolgendo il portale istituzionale del gruppo.
Il CSIRT aveva reso noto, tramite bollettino, le informazioni circa le tecniche d’attacco identificate e le misure di mitigazione a protezione del portale, il quale, grazie al tempestivo intervento, non ha registrato malfunzionamenti e il sito web è rimasto disponibile agli utenti.
Come mitigare il rischio di un attacco DDoS
I danni che conseguono agli attacchi informatici possono avere una portata considerevole, potrebbero recare disservizio di fornitura elettrica o idrica ad abitazioni, industrie o infrastrutture di pubblica utilità, come gli ospedali o le scuole, oppure impedire, come già detto in questo articolo, l’accesso on-line da parte dei cittadini a servizi pubblici essenziali.
La guerra tradizionale sta sempre più lasciando spazio alla guerra informatica, che sfrutta il teatro di scontro offerto dalle reti telematiche piuttosto che lo spazio fisico terrestre.
Diviene perciò necessario, per ogni Stato, dotarsi di un framework efficiente di cyber sicurezza che mitighi minacce e protegga le proprie infrastrutture critiche nazionali essenziali all’erogazione di servizi fondamentali ai cittadini, alle imprese e alle istituzioni pubbliche.
Lo Stato italiano ha, proprio quest’anno, adottato la Strategia Nazionale di Cybersicurezza 2022-2026 elaborata dall’ACN e il relativo Piano di implementazione, il quale sfrutterà i fondi del PNRR e quelli recentemente designati dalla nuova Legge di Bilancio, con la quale saranno stanziati finanziamenti sino al 2026, con previsione di fondi ulteriori fino al 2037.
