Aumentate gli stipendi degli specialisti di security del Csirt, sono davvero in gamba. A dirlo sono stati gli hackvisti del collettivo Killnet, dopo una giornata di attacchi in cui hanno tentato invano, per una decina di ore, di abbattere l’infrastruttura dell'Agenzia nazionale per la cybersicurezza. Quello che avrebbeo dovuto andare in scena avrebbe dovuto essere un attacco DDoS come gli altri che Killnet aveva già portato avanti contro l’Italia, quindi di carattere dimostrativo.

Fortunatamente i milioni di richieste inviati ieri dagli attivisti filorussi non hanno sortito gli effetti sperati. Sulla pagina ufficiale dello Csirt sono riepilogate le fasi principali dell’attacco, iniziato nel tardo pomeriggio del giorno 30 maggio durato complessivamente per un tempo superiore alle 10 ore.

• La prima fase è stata caratterizzata da un’alta frequenza di pacchetti riconducibili ad attacchi di tipo TCP-SYN, UDP, TCP SYN/ACK Amplification (attacchi ad esaurimento di stato), contemporaneamente ad attacchi volumetrici effettuati tramite DNS Amplification e IP Fragmentation;
• La seconda fase è stata di intensità similare alla prima, iniziata con un attacco di tipo IP Fragmentation e successivamente ricondotta dall’attaccante alle precedenti tipologie, seppur priva dell’amplificazione DNS;
• L’ultima fase è stata di maggiore durata temporale, ma a frequenza minore delle precedenti.

Nello specifico le tecniche identificate sono le seguenti:

• ICMP Flood
• IP Fragmentation
• TCP SYN Floof
• TCP RST Flood
• TCP SYN/ACK
• NTP Flood
• DNS Amplification
• LDAP Connection less (CLAP)

Gli attacchi sono stati mitigati dai sistemi Anti-DDoS a protezione del portale, senza intaccare la disponibilità del sito web per gli utenti leciti.

Le richieste provenivano da oltre 80 Paesi differenti, con picchi di traffico che hanno raggiunto i 40 Gbps. Una cifra che corrisponde a una intensità è superiore alla media globale degli attacchi del 2021 (superiore a 21 Gbps). Ma è lontana dalle cifre record dello stesso anno, quando si sono raggiunti i 3,47 Tbps.

Killnet ha pubblicato un messaggioironico:

"Csirt Italiano, sono eccellenti gli specialisti che lavorano in questa organizzazione. Abbiamo effettuato migliaia di attacchi a tali organizzazioni, anche cyberpol non dispone di un tale sistema per filtrare milioni di richieste. Al momento vediamo che questi ragazzi sono dei bravi professionisti! Falso Governo italiano, ti consigliamo di aumentare lo stipendio di diverse migliaia di dollari a questa squadra. Csirt accettate i nostri rispetti, signori!"

Ma resta il fatto che l'attacco non è andato a buon fine. Tuttavia non è il caso di sedersi sugli allori: quelli DDoS degli hacktivisti sono attacchi dimostrativi e non distruttivi. Bisognerebbe essere parimenti abili nel contrastare gli attacchi distruttivi: sono quelli che fanno davvero paura e a cui si riferiva Franco Gabrielli nel suo appello di pochi giorni fa. Non bisogna abbassare la guardia. Nel prosieguo del messaggio, infatti, il collettivo sottolinea che "Ci sono ancora migliaia di siti italiani che non funzionano, è un peccato".