Negli scorsi giorni la città di Bellinzona, insieme a molte altre realtà pubbliche svizzere ha subito un attacco informatico al suo portale da parte di un gruppo di hacker filorussi.
La notizia ha avuto un certo risalto sulla stampa regionale, ma purtroppo come spesso capita è stata trattata con superficialità e le stesse parole di chi è stato intervistato per spiegare cosa sia successo sono apparse fuorvianti ed hanno spiegato poco l’accaduto.
Tentiamo, quindi, come nostro uso di spiegare in maniera semplice, ma precisa, questo attacco.
I responsabili
L’attacco è stato rivendicato dal gruppo filorusso Noname57.
Il gruppo si è formato all’indomani dell’invasione russa dell’Ucraina e dal marzo 2022 ha cominciato da subito colpendo le infrastrutture ucraine per poi nei mesi successivi attaccare molti dei paesi che sostengono lo sforzo bellico ucraino: i paesi baltici, gli Stati Uniti, Danimarca, Finlandia, Norvegia, Polonia, Repubblica Ceca, Italia, Olanda e per finire la Svizzera.
Questo gruppo è definibile come gruppo di hacktivisti, hacker che sostengono con le proprie attività delle cause ben specifiche ed è con molta probabilità State-Sponsored, ossia le loro attività sono finanziate e supportate dalla Confederazione Russa.
E quali siano le motivazioni che li muovono è chiaro dal loro manifesto pubblicato su Telegram l’11 marzo del 2022.
“Saluti, compagni!
Dal manifesto dei NoName057
Il gruppo di hacker NoName057(16) esce sul sentiero di guerra contro sub-hacker ucraini e i loro servitori corrotti! Questi ammiratori dei neofascisti, che hanno preso il potere in Ucraina, stanno cercando di attaccare le risorse Internet del nostro paese e intimidire i nostri connazionali con i loro attacchi orchestrati attraverso i social network e altri canali di comunicazione”
L’attacco
Al momento i Noname57 si sono fatti notare solo ed esclusivamente per attacchi DDoS e attorno a questa definizione i racconti giornalistici hanno dimostrato una generale impreparazione nell’affrontare il tema.
Il responsabile dell’azienda che si è occupata di risolvere il problema è stato intervistato ed ha descritto l’attacco come “un attacco di forza bruta” con “200.000 richieste al sito ogni 3 secondi” riconducibili “a circa 1500 macchine“.
Ovviamente l’intento era probabilmente quello di rendere semplice i concetti, ma quello descritto non è in alcun modo “un attacco di forza bruta“, piuttosto siamo davanti ad un DDoS Wave Pulse Attack.
Partiamo dal tradurre in termini corretti “attacco di forza bruta“.
Quando si parla di forza bruta nel campo della Cyber-Sicurezza si intende una tipologia ben precisa di attacchi che mirano a “scoprire” una password tentando tutte le possibili combinazioni di lettere, numeri e segni(ne abbiamo parlato in questo articolo); risulta evidente come non sia questo il caso.
Probabilmente si voleva far comprendere come l’attacco di Noname57 non abbia una componente informatica particolarmente elegante e ricercata, ma sia a tutti gli effetti un attacco muscolare che si basa solo sulla forza che ci si mette e non su raffinate tecniche, anche se vedremo che le cose non stanno esattamente in questo modo.
Ma cos’è un DDoS Wave Pulse attack?
DDoS Wave Pulse
D sta per Distributed, quindi distribuito, suddiviso; con questo si vuole intendere che l’attacco non è effettuato da una sola macchina, ma da più macchine (“circa 1500 macchine“) che proprio per il loro numero possono generare un quantità enorme di traffico che un solo computer non riuscirebbe mai a produrre senza bloccarsi a sua volta.
Per far questo ci sono due metodi:
- Il primo è quello di una comunità che si mette d’accordo per visitare una certo sito in un certo momento ed è quello che è successo con i primi attacchi di Anonymous una ventina di anni or sono.
- Il secondo metodo è quello delle Botnet create o acquistate nel dark-web. In questo caso gli hacker violano molti computer e server nel mondo installandovi un software che rimane latente in ascolto sulla rete sino a quando il centro di comando e controllo (C2, Command&Control) gestito dagli hacker non invia l’ordine di lanciare l’attacco, a quel punto gli zombie o bot, i computer infettati, si attivano e lanciano l’attacco coordinati.
DDoS Wave Pulse
DoS sta per Denial of Service, letteralmente Negazione del Servizio, ed è l’acronimo sotto la quale vengono catalogati tutti gli attacchi che hanno come obbiettivo non violare il sistema per aver accesso ai suoi dati, ma impedire semplicemente che possa erogare il servizio per il quale è stato progettato, come nel caso dei siti web che quindi risultano irraggiungibili.
Gli attacchi DoS sono stati tra i primi attacchi informatici in rete ed erano molto efficaci quando le macchine avevano poche risorse e la banda disponibile estremamente ridotta, proprio per questo motivo con i sistemi di oggi e le bande disponibili gli hacker preferiscono affidarsi a DDoS piuttosto che ad un attacco DoS effettuato da una sola macchina.
DDoS Wave Pulse
Wave Pulse è una particolare tecnica attraverso il quale l’attacco DDoS non viene lanciato in un singolo momento, ma ad ondate successive nel tempo. Questa particolare tecnica viene utilizzata perché nel caso di un unica massa di connessione, una azienda/organizzazione potrebbe mettere in campo abbastanza velocemente un filtro del traffico per bloccare quegli indirizzi IP (l’identificativo di una macchina sulla rete) che paiono malevoli, ad esempio inviando un numero di richieste per secondo che un utente umano non potrebbe inviare.
Nel caso di attacchi ad ondate, al contrario, gli hacker possono modellare le “ondate” in maniera che sia complicato filtrare il traffico e questo rende gli attacchi Wave Pulse efficaci e sempre più utilizzati; anzi proprio il tentativo di filtrare il traffico può portare il sistema a rallentare la sua capacità di risposta e quindi ad amplificare l’effetto dell’attacco.
Inoltre un attacco DDoS Wave Pulse, benché come concetto di base sia un attacco molto semplice e tutt’altro che “triviale” come è stato definito dalla stampa, perché gli attaccanti di norma modellano, come si è detto sopra, le ondate inserendo alle normali richieste di connessione delle richieste modificate per fare in modo che ad ogni ondata parte delle connessioni rimangano attive impegnando le risorse dei server attaccati e rendendo più distruttiva la successiva ondata.
Qualcuno potrebbe chiedersi se non si possano impedire questo tipo di attacchi e la risposta è no. Gli attacchi DDoS per la natura del servizio che prendono di mira, server e siti internet, non possono essere evitati, quello che si può fare è gestirli e avere sistemi in grado di trattare un numero congruo di richieste, ma questo non può prescindere da una valutazione dei costi e dei benefici.
Un commento su “Bellinzona sotto attacco!!!”
I commenti sono chiusi.