C’è stato un attacco informatico a diverse istituzioni italiane
Era stato annunciato da un gruppo di hacker filorussi e per ora ha colpito i siti di diversi ministeri, tra cui quello degli Esteri
I siti internet di diverse istituzioni italiane sono inaccessibili o rallentati a causa di un attacco informatico organizzato dal gruppo di hacker filorusso Killnet, che nei giorni scorsi aveva già attaccato la Polizia di Stato. Da venerdì mattina non si può accedere al sito del ministero degli Esteri e del Consiglio superiore della magistratura. A partire dalle 7, i siti hanno alternato periodi di funzionamento regolare a diverse ore offline.
Nel pomeriggio di venerdì Killnet ha attaccato i siti di diversi aeroporti tra cui Milano Malpensa, Linate, Orio al Serio, Genova e Rimini.
Giovedì sera nel gruppo Telegram di Killnet aveva pubblicato un’ampia lista di siti che aveva intenzione di attaccare. Nella lista c’erano siti di ministeri, società energetiche, di telecomunicazioni, e una ventina di testate giornalistiche tra cui il Corriere della Sera, Repubblica, Ansa, il Sole 24 Ore e la Stampa.
In tarda serata era stata pubblicata una nuova lista più ristretta, da cui erano stati esclusi i siti dei media. Tra gli obiettivi dichiarati ci sono ancora l’autorità di regolazione dell’energia, il ministero dell’Istruzione, Federtrasporto, oltre a siti già sotto attacco come quello del ministero degli Esteri. La scorsa settimana era stato violato anche il sito del Senato.
L’ultimo numero della newsletter Guerre di Rete ha ricostruito l’origine di Killnet, collegato a un altro gruppo chiamato Legion. Killnet è stato citato in un avviso della CISA (l’agenzia USA per la cybersicurezza e la protezione delle infrastrutture critiche), insieme ad altri “gruppi cybercriminali allineati con la Russia”, considerati una minaccia a organizzazioni che gestiscono infrastrutture critiche. Il primo messaggio pubblico di Killnet è apparso in video il primo marzo, pochi giorni dopo l’invasione dell’Ucraina. Il video contiene una netta presa di posizione a favore della Russia, insieme a un messaggio ostile contro Anonymous.
Come in altre occasioni, Killnet ha organizzato un attacco DDoS, acronimo di Distributed Denial of Service, che consiste in una notevole richiesta di accessi contemporanei a un sito internet in modo da saturare il sistema e rendere il sito irraggiungibile. Le risorse di una rete, come i server, hanno infatti un limite preciso di richieste che sono in grado di sopportare contemporaneamente. I criminali informatici solitamente utilizzano la cosiddetta botnet, una rete di computer compromessi e sotto il loro controllo. I pc infettati possono eseguire operazioni come l’invio di grandi quantità di dati all’obiettivo dell’attacco impedendo in questo modo l’accesso a un servizio specifico come le mail, la connettività, fino a coinvolgere potenzialmente tutti i servizi.
Nel caso dei recenti attacchi subiti dalle istituzioni italiane, il CSIRT, il team di risposta agli incidenti dell’Agenzia per la cybersicurezza nazionale, ha spiegato che sono stati condotti «utilizzando tecniche che differiscono dai più comuni attacchi DDoS di tipo volumetrico passando inosservati quindi ai sistemi di protezione comunemente utilizzati sul mercato contro questo tipo di attacchi». Un attacco di tipo volumetrico viene lanciato con l’obiettivo di saturare le capacità di banda a disposizione attraverso l’invio di enormi quantità di traffico generato comunemente da botnet. Gli ultimi attacchi DDoS sono definiti di tipo “applicativo”, che utilizzano accorgimenti per risultare più efficaci.
Ci sono diversi modi per difendersi da un attacco DDoS. Una delle possibili prevenzioni è dotarsi di un’infrastruttura del sito definita “scalabile”, cioè che riesce a distribuire i servizi per evitare che una grande quantità di dati li metta a rischio nei momenti di picco. Sul mercato esistono aziende tecnologiche che si prendono carico di tutto il traffico informatico di un portale depurandolo dagli accessi legati all’attacco.