L'Acn studia l'attacco cyber dell'11 maggio. Ecco come fermare gli hacker russi

di Rossella Savojardo 13/05/2022 15:16

L'Acn studia l'attacco cyber dell'11 maggio. Ecco come fermare gli hacker russi
 
  ULTIMO   VAR
Spread 242,24
17.29.49

+10,40%

 

Dall'Agenzia per la cybersicurezza nazionale arriva l'allert. L'attacco sferrato dagli hacker russi lo scorso mercoledì ha colpito importanti siti nazionali e internazionali e questo potrebbe essere solo l'inizio. Gli attacchi, ha spiegato l'Agenzia, "sono stati condotti utilizzando tecniche che differiscono dai più comuni attacchi Ddos, passando inosservati quindi ai sistemi di protezione comunemente utilizzati sul mercato contro questo tipo di attacchi poiché avvengono utilizzando una banda limitata. Tali tecniche Ddos, definite di tipo applicativo, mirano a saturare le risorse dei sistemi che erogano i servizi, tra cui i server web".

L'attacco hacker dell'11 maggio. Mercoledì scorso il collettivo Killnet ha rivendicato l'attacco informatico contro numerosi siti italiani, tra cui il Senato, la Difesa, l'Istituto superiore di sanità e l'Aci. Il gruppo filo-russo ha pubblicando su Telegram una serie di indirizzi che sarebbero stati violati, sotto l'indicazione "attacco all'Italia". Il sito di Palazzo Madama è però tornato subito accessibile. Lo Stato Maggiore della Difesa ha invece smentito l'attacco e attribuito l'impossibilità di accedere alle pagine a una manutenzione programmata da tempo. 

La descrizione dell'attacco. Nel caso specifico l'Agenzia spiega che per questo attacco è stato rilevato l'utilizzo della tecnica definita "Slow Http" che, di norma, impiega richieste Http Get per saturare le connessioni disponibili di un server web. L'hacker ha la possibilità di aprire numerose connessioni verso i server web, inviando una sequenza di richieste Get/Post contenenti dati fittizi finché non viene raggiunto il timeout impostato. Ognuna di queste richieste tiene occupata una risorsa lato server. Quando viene raggiunto il limite massimo di risorse disponibili, il server non è più in grado di rispondere al traffico legittimo, rendendo quindi indisponibile il servizio. Fermo restando l'opportunità di dotarsi di adeguati sistemi di protezione contro attacchi Ddos di tipo volumetrico, al fine di proteggere i propri sistemi, gli esperti hanno pubblicato una serie di consigli di mitigazione, come rifiutare le connessioni con metodi Http non supportati dall'Url o definire la velocità minima dei dati in entrata e bloccare le connessioni che sono più lente della velocità impostata.

Le tecniche dell'Acn per fermare gli hacker russi. Considerando anche la recrudescenza delle campagne di attacco rivendicati da attori di matrice russa e il possibile passaggio a campagne di attacchi più complesse, l'Agenzia ha costruito una vera e propria mappa che individua un insieme di 71 vulnerabilità che dovrebbero essere risolte con urgenza e in via prioritaria dagli operatori più esposti. Queste ultime, spiega l'Agenzia, "risultano infatti quelle maggiormente utilizzate nell'ambito delle campagne di attacco pubblicamente attribuite ad attori malevoli legati alla Federazione Russa in 18 diversi riferimenti pubblici". La quasi totalità delle Cve rilevate dagli esperti sono classificate di livello grave o critico. "In particolare", spiegano, "la maggior parte di esse sono sfruttate dagli attori malevoli per ottenere l’accesso iniziale ai sistemi target e sono relative prevalentemente a servizi infrastrutturali, di accesso remoto o di networking". Nella tabella definita dall'Acn sono state identificate le Cve più sfruttate, le tattiche e le tecniche utilizzate. In totale le aziende citate sono 17 per la maggior parte americane. Fra queste c'è Microsoft con ben 40 prodotti che secondo l'azienda presentano vulnerabilità: Windows, Office ed Exchange Server. Poi ci sono VMware, Cisco, Oracle e SonicWall. Tra le vulnerabilità che l'Agenzia segnala come critiche alcune colpiscono anche la nota libreria Java. (riproduzione riservata)