Capita che alcune aziende allertino i dipendenti su un potenziale
attacco DDoS che si verificherà in una data precisa.
Come si fa a fare una previsione del genere? Lo abbiamo chiesto a
Nicola Ferioli, Senior Solutions Engineer di Akamai.
Ci ha spiegato che
dipende dal tipo di attacco, da chi lo organizza e con quale motivazione. In generale, i tipi di attacchi si differenziano se sono scatenati dagli hacktivist (hacker attivisti), da organizzazioni criminali (tipicamente gruppi ATP) o da gruppi sponsorizzati da stati-nazione.
Nel primo caso sono finalizzati ad
azioni di protesta e i tipici bersagli sono gli enti governativi, aziende del settore energetico e simili. Le organizzazioni criminali sono orientate a
estorcere denaro, gli stati-nazione al
blocco di infrastrutture critiche.
Nicola Ferioli, Senior Solutions Engineer di Akamai
Monitoraggio e intelligence
Essendo diversi gli intenti e le metodologie con cui operano i diversi gruppi, possono essere diversi i segnali legati a questi eventi. In generale, alcuni tipi di attacchi (soprattutto se provenienti dal mondo dell'hacktivismo e delle proteste organizzate), lasciano molte
tracce in Rete.
Ci sono chat e gruppi di discussione su canali relativamente pubblici, che sono frequentati da personaggi che bazzicano in questi ambienti. Oppure sono nascosti nel
dark web, ma sempre relativamente accessibili. Chi è introdotto in questi ambienti può "ascoltare" i discorsi che vengono fatti. Spesso una campagna verso un determinato bersaglio viene annunciata con anticipo. In casi estremi si arriva anche a dichiarare su Twitter l'avvio di una campagna in una data e con un obiettivo precisi.
L'attività di ascolto viene fatta da alcuni gruppi aziendali o enti che hanno l'obiettivo di generare un allarme preventivo. Bersagli più grossi, come le infrastrutture critiche nazionali (telco, fornitori di energia ed elettricità, trasporti, sanità e alcuni servizi finanziari), hanno di solito dei
centri dedicati che raccolgono informazioni di intelligence sui possibili attacchi.
A protezione di queste realtà in Italia c'è un'unità della Polizia Postale che si chiama
CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) che fa sostanzialmente rilevazione di minacce informatiche che possono avere un'
origine terroristica o criminale. Monitora i canali in rete alla ricerca di informazioni che possono rivelare se in un certo periodo temporale potrebbe partire una serie di attacchi verso determinate aziende. L'attività è focalizzata esclusivamente sulle infrastrutture critiche.
Esistono poi altri apparati che hanno un target diverso: i
CSIRT (Computer Security Incident Response Team) e i
CERT (Computer Emergency Response Team). Sono gruppi che possono essere sia pubblici sia privati, e che si occupano di raccogliere informazioni di intelligence in un determinato settore. Possono operare per determinati settori (ad esempio finance o trasporti) o per determinate aziende private.
CSIRT.it è pubblico ed è gestito dal Dipartimento delle Informazioni per la Sicurezza, ma ci sono anche
grosse aziende che hanno al loro interno un dipartimento CSIRT proprio. Molti di questi gruppi si tengono in contatto e si scambiano informazioni.
Anche Akamai ha un gruppo di questo tipo al suo interno, che ha il compito di fare intelligence e prevenzione (raccoglie i segnali che arrivano dai canali nascosti in rete, relativi ad attacchi contro specifici enti e altri settori). Emette bollettini periodici che hanno vari livelli di distribuzione. Alcuni sono pubblici, altri sono distribuiti solo ai clienti, altre sono informazioni riservate che vengono mandate solo a gruppi specifici di clienti che possono essere oggetto di particolari minacce. Inoltre, svolgono tutta l'attività di
analisi e raccolta dati durante gli attacchi veri e propri e le analisi post attacco per studiare le strategie di miglioramento della difesa dei clienti.
Ci sono anche aziende private che fanno raccolta di informazioni di intelligence per conto terzi, che gestiscono in outsourcing la gestione della sicurezza delle aziende. In genere sono società che fanno anche servizi di analisi della reputazione del brand, e simili.
Estorsioni
Un'altra possibilità per sapere in anticipo e in dettaglio che si verificherà un attacco DDoS è quella
legata all'estorsione da parte della criminalità organizzata. Ormai da anni la minaccia di attacchi DDoS viene fatta a fine estorsivo. Consiste nel cercare di
farsi pagare da un'azienda per evitare di ricevere un attacco DDoS che metta fuori uso i sistemi informativi, oppure per fermare un attacco che è in corso.
In questi casi il gruppo criminale intenzionato a fare cassa sceglie delle aziende target da ricattare. Invia una mail a una serie di contatti (presi da LinkedIn o indirizzi standard dell'azienda) all'interno dell'azienda chiedendo una determinata cifra in Bitcoin o altra criptovaluta per non scatenare un attacco DDoS.
È un caso abbastanza comune. I termini di pagamento di solito sono molto ravvicinati, le cifre possono andare da poche centinaia di euro a
decine di migliaia di euro per le vittime più grandi. A volte viene fatto anche una sorta di attacco dimostrativo di media dimensione per spaventare la vittima.
È il caso tipico in cui le aziende vengono a sapere direttamente che stanno per essere attaccate e con precisione quando. Da qui si scatenano le allerte. Quello che accade spesso è che
il gruppo criminale bluffa. Non è realmente attrezzato per scatenare un attacco DDoS. Nel mucchio, spedendo lettere a molte potenziali vittime, si trova comunque qualcuna che paga, ignorando che il ricattatore non è in grado di mettere in atto la minaccia.
Qualcuno a questo punto potrebbe
contattare il service provider perché lo supporti nella gestione dell'attacco. I provider forniscono un servizio di protezione anti DDoS, ma è a pagamento e
non è incluso di default nei contratti di connettività. È necessario stipulare un contratto apposito. La protezione anti DDoS può essere fatta in vari modi anche affidandosi ad aziende private. Akamai ha tanti clienti per la protezione anti DDoS.
Un esempio pratico è la campagna con email di estorsione
iniziata a fine agosto da parte del gruppo criminale Armada Collective. È un gruppo storico che ogni tanto ricompare, analogamente a
Fancy Bear. Le lettere di estorsione erano indirizzate in particolare al settore finance (banche e assicurazioni) in tutto il mondo. Non era un bluff, perché poi hanno portato effettivamente ad
attacchi di dimensioni molto rilevanti.
Akamai
sconsiglia fortemente di pagare questo tipo di riscatti, perché il pagamento non dà alcuna garanzia sul fatto che poi l'attacco non avvenga. Come in tutti i casi di estorsione, chi non paga magari viene attaccato per spingerlo a cambiare idea. Chi paga può essere sottoposto a un secondo ricatto. Pagare quindi non è utile all'atto pratico, se non per finanziare la criminalità.
Quando si ricevono queste lettere la cosa migliore da fare è alzare il livello d'allerta interno. Non serve molto allertare i dipendenti – cosa che invece è utile in caso di ransomware o phishing. Nel caso del DDoS il singolo dipendente non può fare molto. Il centro di controllo o il SOC invece possono prepararsi comunicando l'avvenuta minaccia a chi gestisce il servizio di protezione anti DDoS.