Dopo aver preso di mira i siti di alcuni ministeri, aeroporti e Polizia di Stato, il gruppo Killnet ha effettuato un attacco DDoS contro il sito del CSIRT (Computer Security Incident Response Team) dell’AGN (Agenzia per la Cybersicurezza Nazionale), ma senza causare interruzioni del servizio. Il team ha infatti rilevato e respinto l’attacco. I cybercriminali russi hanno elogiato ironicamente gli “eccellenti specialisti” italiani.
Killnet: lamer e troll?
Il CSIRT conferma che l’attacco DDoS (Distributed Denial of Service) è iniziato nel tardo pomeriggio del 30 maggio e terminato oltre 10 ore dopo. Il gruppo Killnet ha utilizzato gran parte delle tecniche illustrate dal team il 20 maggio. L’attacco, che ha raggiunto picchi di 40 Gbps, è stato eseguito in tre fasi.
Durante la prima fase sono stati inviati numerosi pacchetti di dati riconducibili ad attacchi di tipo TCP-SYN, UDP, TCP SYN/ACK Amplification (attacchi ad esaurimento di stato), contemporaneamente ad attacchi volumetrici effettuati tramite DNS Amplification e IP Fragmentation. La seconda fase è iniziata con un attacco di tipo IP Fragmentation e successivamente con le tecniche usate nella prima fase, ad eccezione dell’amplificazione DNS.
Durante la terza fase sono stati effettuati attacchi volumetrici e ad esaurimento di stato con maggiore durata temporale e frequenza minore. Gli attacchi sono stati respinti con i sistemi anti-DDoS del sito web, consentendo l’accesso agli utenti. L’analisi è ancora in corso, quindi nei prossimi giorni verranno divulgati ulteriori dettagli.
Il CSIRT consiglia di adottare le misure indicate a fine maggio, tra cui sistemi anti-DDoS, CDN (Content Delivery Network) e WAF (Web Application Firewall). Questi ultimi sono offerti da diversi leader del settore. Tra le soluzioni più affidabili c’è Bitdefender GravityZone Business Security.
Il gruppo filo-russa aveva minacciato di attaccare l’Italia a partire dalle ore 5 del 30 maggio, ma non è successo nulla. La sera dello stesso giorno ha pubblicato un messaggio in italiano (discutibile) sul canale Telegram per fare i complimenti al CSIRT. Ovviamente si è trattato di sarcasmo (come scrivono nel messaggio di oggi), specificando che il team ha bloccato l’attacco con il sistema anti-DDoS di Akamai. Lamer o troll? Forse entrambi.