Gli hackivisti filorussi NoName057(16) continuano a colpire le aziende e le istituzioni italiane con attacchi informatici DDoS (Distributed Denial of a Service). In Italia numerose sono state le vittime, tra cui anche i Carabinieri, vari Ministeri e la Corte Costituzionale.
Solo tre giorni fa il gruppo filorusso aveva attaccato numerose aziende nel settore dei trasporti ma non gli è bastato. Il giorno dopo decide di prendere di mira il settore bancario tramite attacchi DDoS. I danni per fortuna sono stati contenuti ma ciò ha messo in luce un chiaro problema crescente a livello di sicurezza. I sistemi di sicurezza odierni sono sicuramente molto avanzati ma alla stessa velocità viaggiano le competenze degli hacker cibernetici.
Chi è NoName057(16)?
NoName057 è un gruppo criminale filorusso che sferra attacchi informatici da marzo 2022. Sono nel mirino dell’agenzia per la cybersicurezza nazionale in quanto si concentrano particolarmente su siti web di governi, mezzi di informazione e aziende con risorse importanti. Sono esperti di attacchi dimostrativi di tipo DDoS, e hanno creato una piattaforma, DDosia, in cui è possibile essere pagati in cambio di attacchi DDoS commissionati da NoName057(16).
Cosa sono gli attacchi DDoS
Gli attacchi Distributed Denial of Service sono un tentativo ostile di bloccare il normale traffico di un server, servizio o rete sopraffacendo la vittima o l’infrastruttura circostante inondandola di traffico Internet illegittimo. Si basano quindi sul sovraccarico e quindi indisponibilità di un server o servizio, rendendoli inaccessibili anche agli utenti legittimi. È uno degli attacchi più gettonati e ha un tasso di successo del 58%.
Quali sono i sintomi di un attacco DDoS?
I principali sintomi di un attacco DDoS sono servizi di produzione non disponibili, velocità della rete rallentata e perdita di connettività da parte dell’utente. Inoltre, durante un attacco, le risorse addette all’assistenza clienti vengono sovraccaricate, mettendo ancora più pressione sui team di sicurezza per identificare e risolvere il problema. Sono sintomi aspecifici, per questo bisogna indagare a fondo e capire se ci sono anche quantità sospette di traffico proveniente da un singolo indirizzo IP o da un intervallo di indirizzi IP, un flusso di traffico da utenti che condividono un unico profilo comportamentale, come il tipo di dispositivo, la geolocalizzazione o la versione del browser Web o un aumento inspiegabile delle richieste a una singola pagina o endpoint. Anche schemi anomali di traffico, come picchi in ore inconsuete del giorno o sequenze che sembrano innaturali, possono indicare la presenza di un attacco DDoS.
Il 1° agosto NoName057(16) attacca di nuovo, ma questa volta le banche
Sono sei le banche attaccata durante la giornata dell’1 agosto a partire dalle 11:16 dal form di autenticazione del servizio private banking di Monte dei Paschi di Siena. Durano fino al pomeriggio gli attacchi firmati su Telegram con il nome “NNM057(16)”, alle banche BPER, Fineco, Intesa Sanpaolo, Fideuram e Che banca su diverse URL. I domini attaccati sono stati inagibili per diverso tempo ma ora la situazione dovrebbe essere rientrata per tutti gli offesi.
Come hanno fatto?
Abbiamo parlato di attacchi DDoS, ma negli ultimi casi italiani gli hacker filorussi avrebbero usato un sottotipo più sofisticato di DDoS, lo Slow http Attack. Questo tipo di cyber-offensiva è chiamata Slowloris e consiste nell’invio di richieste http estremamente lente. Ciò serve a forzare la connessione a rimanere aperta in attesa che il server riceva la sequenza di caratteri «\n\n» che chiudono la richiesta del client, che però non arriva. Il server, in questo modo, è obbligato a reggere diverse connessioni contemporaneamente finche non viene saturato. Sono attacchi di cui aver paura in quanto richiedono pochissime risorse, a volte anche solo un unico computer.
Come mitigare gli attacchi di Slow HTTP Attack
È possibile proteggersi preventivamente da questo tipo di attacco e ci sono vari mezzi per contrastarli. Alcune tecniche molto usate e di semplice impostazione sono:
- ridurre il timeout di connessione al minimo possibile in modo che il server chiuderà automaticamente connessioni carenti di attività, impedendo così la sua saturazione. Gli offensori non avranno il tempo necessario per bloccare il server o il sistema
- Limitare il numero di connessioni per singolo IP, in modo che un singolo hacker non possa aprire contemporaneamente più connessioni
- Munirsi di un server reverse proxy che riesce a elaborare le richieste in modo più efficiente, mitigando così gli attacchi Slow HTTP
Ma queste accortezze non bastano per difendersi da criminali professionisti come NoName057(16) e tanti altri. Infatti, è fondamentale utilizzare un firewall applicativo WAF (web application firewall) come quello di F5 che protegga il server web filtrando le richieste non solo in base a tempo e IP ma anche in base al contenuto e comportamento. Un Web Application Firewall impedisce le attività dannose in base alle configurazioni che si sceglie di attribuirgli. Inoltre, è importante usare servizi di mitigazione degli attacchi DDoS, come il DDoS Mitigation di F5, che filtrano le richieste malevole in ingresso, impedendoli l’ingresso.
E quindi, qual è il miglior modo per difendersi?
Il geolocking e i limiti del timeout sono di certo un aiuto ma sono solo mitigazioni temporanee. La soluzione definitiva è attivare WAF o servizi CDN.
Anche i tecnici dell’Agenzia per la cybersicurezza nazionale si sono espressi a riguardo a seguito degli attacchi massicci in Italia «Massima attenzione alle minacce all’operatività dei siti istituzionali – ministeri, autorità, agenzie, organi costituzionali – e delle organizzazioni che gestiscono servizi essenziali per la collettività, anche in relazione ai recenti avvenimenti che hanno prodotto una breve indisponibilità di alcuni di loro». Si raccomandano con chiunque non abbia ancora precauzioni di prenderle al più presto.