Killnet: il gruppo hacker russo minaccia l’occidente

Dopo averlo conosciuto parlando dell’attacco subito da diversi siti istituzionali italiani, il gruppo Killnet, di matrice russa, ha dichiarato pubblicamente che sferrerà un attacco totale a dieci dei paesi che si sono opposti a Putin. Questo è accaduto diverse volte negli ultimi giorni a seguito di vari attacchi ad altri siti istituzionali, che come nei casi precedenti hanno tenuto in sospeso i sistemi solo per poche ore.

Il 16 maggio è stato il turno della Polizia di Stato, che durante la notte ha visto il suo sito inutilizzabile per qualche ora. La sera prima peraltro la stessa polizia aveva annunciato di aver sventato un altro cyberattacco, quello all’Eurovision Song Contest che stava andando in onda proprio in quel momento. Questo attacco però, almeno ufficiosamente, non è mai stato rivendicato da Killnet a differenza di quello ai danni delle forze dell’ordine.

L’attacco DDoS perpetrato ai danni del sito poliziadistato.it è ancora in corso ed è basato su tecniche particolarmente difficili da mitigare. A differenza degli attacchi che saturano la banda, questo utilizza la strategia del cosiddetto Slow HTTP, che punta a bloccare non tanto la rete quanto gli applicativi sui quali i siti sono basati. A nulla sono quindi serviti i tentativi dei tecnici per bloccare gli IP di alcuni paesi esteri, dato che dopo questa operazione l’attacco è continuato indisturbato se non per brevi momenti. In quest’ultimi oltretutto la navigazione del sito risultava essere particolarmente difficoltosa.

Oltre all’attacco alla Polizia, come abbiamo già detto in apertura, se ne sono verificati anche molti altri sempre verso obiettivi sensibili quali il CSM ed il Senato. Anche in questo caso gli attacchi stanno ancora rendendo difficile se non impossibile la corretta visualizzazione di tutti i portali.

CSIRT, portale istituzionale per la cybersecurity, dà vari consigli agli esperti per bloccare gli attacchi del tipo Slow HTTP, mentre per quelli più “classici” di tipo volumetrico è sufficiente un servizio Anti-DDoS di alto livello, già più reperibile. Come prima cosa è necessario rifiutare quelle connessioni che hanno metodi HTTP non supportati ed impostare il timeout di connessione. È necessario anche inserire un backlog in grado di visualizzare tutte le connessioni in sospeso e filtrare questo traffico. Un’altra tattica è quella dell’inserimento di una soglia di velocità per le connessioni in entrata, eliminando le più lente ma facendo anche attenzione al livello impostato perché potrebbero restare fuori anche alcune connessioni “buone”.

Secondo gli esperti italiani di cybersecurity, che ormai da due mesi ripetono di stare attenti, nella maggior parte dei casi questi attacchi sono facilmente mitigabili. Questa, al momento, è una buona notizia ma, si avverte, potrebbe essere anche il preludio di una situazione ben peggiore. Occorre quindi pensare subito alle contromosse da utilizzare per sconfiggere i tentativi di attacco che, sicuramente, si susseguiranno.

 

Fonti: 1, 2