Dopo aver descritto l’attacco effettuato dal gruppo Killnet contro alcuni siti istituzionali, il CSIRT (Computer Security Incident Response Team) ha rilevato attività che potrebbero indicare possibili nuovi attacchi DDoS contro infrastrutture nazionali. Intanto i cybercriminali filo-russi hanno comunicato su Telegram che l’attacco contro il sito della Polizia di Stato è terminato.
In arrivo nuovi attacchi DDoS?
Il team dell’Agenzia per la Cybersicurezza Nazionale (ACN) ha intensificato il monitoraggio delle minacce, in seguito agli attacchi avvenuti a partire dall’11 maggio. Gli esperti del CSIRT hanno rilevato un’intensificazione delle attività di “probing” delle misure di protezione attive nei sistemi nazionali. In pratica, qualcuno ha avviato la ricerca di eventuali vulnerabilità o altri punti deboli per attuare un nuovo attacco DDoS ((Distributed Denial of Service).
Le attività rilevate (al momento di bassa intensità) sono:
- presenza di picchi di traffico UDP e TCP anomalo (superiori alla normale baseline di utilizzo delle risorse interessate)
- presenza di chiamate HTTP malformate (versione HTTP non valida, assenza del carattere CRLF)
- presenza di volumi anomali di chiamate provenienti da indirizzi IP appartenenti a servizi di anonimizzazione (rete Tor, proxy anonimi)
- presenza di chiamate riconducibili ad attacchi di tipo ICMP flood, SYN flood e TCP RST
Il secondo tipo di attività indica la possibilità di un attacco DDoS che sfrutta la tecnica Slow HTTP, la stessa utilizzata per colpire il sito del Senato. Il CSIRT raccomanda di innalzare il livello di monitoraggio e attuare tutte le misure di prevenzione/mitigazione indicate, tra cui l’uso di firewall avanzati e soluzioni di sicurezza efficaci, come Bitdefender GravityZone.