Aumentate gli stipendi degli specialisti di security del Csirt, sono davvero in gamba. A dirlo sono stati gli hackvisti del collettivo Killnet, dopo una giornata di attacchi in cui hanno tentato invano, per una decina di ore, di abbattere l’infrastruttura dell'Agenzia nazionale per la cybersicurezza. Complice l’allerta dei giorni scorsi, l’attacco che era stato preannunciato come un “colpo irreparabile” all’Italia, non è andato a buon fine.

Avrebbe dovuto trattarsi di un attacco DDoS come gli altri che Killnet aveva già portato avanti contro l’Italia, quindi di carattere dimostrativo e non distruttivo. Ma in un Paese con una scarsa cultura cyber, la notizia di un attacco cyber di qualunque tipo ha sempre la stessa eco mediatica. E lo sfregio all’onore dell'Agenzia per la cybersicurezza nazionale sarebbe stato un colpo basso imbarazzante per le autorità.

Quello che è successo, invece, è che i milioni di richieste inviati ieri dagli attivisti filorussi sono stati gestiti con competenza dai difensori italiani. A dirlo non sono i rappresentati delle istituzioni o i commentatori esterni: il riconoscimento è arrivato direttamente dagli attaccanti:

"Csirt Italiano, sono eccellenti gli specialisti che lavorano in questa organizzazione. Abbiamo effettuato migliaia di attacchi a tali organizzazioni, anche cyberpol non dispone di un tale sistema per filtrare milioni di richieste. Al momento vediamo che questi ragazzi sono dei bravi professionisti! Falso Governo italiano, ti consigliamo di aumentare lo stipendio di diverse migliaia di dollari a questa squadra. Csirt accettate i nostri rispetti, signori!"

Sulla pagina ufficiale dello Csirt sono riepilogate le fasi principali dell’attacco, iniziato nel tardo pomeriggio del giorno 30 maggio durato complessivamente per un tempo superiore alle 10 ore.

• La prima fase è stata caratterizzata da un’alta frequenza di pacchetti riconducibili ad attacchi di tipo TCP-SYN, UDP, TCP SYN/ACK Amplification (attacchi ad esaurimento di stato), contemporaneamente ad attacchi volumetrici effettuati tramite DNS Amplification e IP Fragmentation;
• La seconda fase è stata di intensità similare alla prima, iniziata con un attacco di tipo IP Fragmentation e successivamente ricondotta dall’attaccante alle precedenti tipologie, seppur priva dell’amplificazione DNS;
• L’ultima fase è stata di maggiore durata temporale, ma a frequenza minore delle precedenti.

Nello specifico le tecniche identificate sono le seguenti:

• ICMP Flood
• IP Fragmentation
• TCP SYN Floof
• TCP RST Flood
• TCP SYN/ACK
• NTP Flood
• DNS Amplification
• LDAP Connection less (CLAP)

Gli attacchi sono stati mitigati dai sistemi Anti-DDoS a protezione del portale, senza intaccare la disponibilità del sito web per gli utenti leciti.

Le richieste provenivano da oltre 80 Paesi differenti, con picchi di traffico che hanno raggiunto i 40 Gbps. Una cifra che corrisponde a una intensità è superiore alla media globale degli attacchi del 2021 (superiore a 21 Gbps). Ma è lontana dalle cifre record dello stesso anno, quando si sono raggiunti i 3,47 Tbps.

A prescindere dal dettaglio tecnico, non capita tutti i giorni che uno specialista o un gruppo di specialisti cyber incassi i complimenti degli attaccanti, e sebbene il messaggio di Killnet fosse ironico, resta il fatto che l'attacco non è andato a buon fine, il che dev’essere giustamente un motivo di orgoglio. Come accennato sopra quelli DDoS degli hacktivisti sono attacchi dimostrativi e non distruttivi. Bisognerebbe essere parimenti abili nel contrastare gli attacchi distruttivi: sono quelli che fanno davvero paura e a cui si riferiva Franco Gabrielli nel suo appello di pochi giorni fa.

Non bisogna abbassare la guardia. Nel prosieguo del messaggio, infatti, il collettivo sottolinea di avere "elogiato solo il sito csirt.gov.it e il loro team. Ci sono ancora migliaia di siti italiani che non funzionano, è un peccato. Non pubblicheremo il loro elenco perché le persone devono vedere tutto da sole. Speriamo che il sistema di monitoraggio italiano lo faccia per noi".