Un attacco DDoS portato alle infrastrutture DNS ha messo in ginocchio moltissimi siti americani ad alto traffico. L’attacco, cominciato nel pomeriggio di venerdì, è ancora in corso mentre scriviamo. A seconda dei casi, siti come Twitter, Spotify, PayPal, GitHub, Reddit, Pinterest, Netflix e parte dell’infrastruttura cloud Amazon Web Services, oltre a decine di altri, risultano irraggiungibili o comunque pesantemente rallentati.

ddos siti downdetector internetdown dns

I principali problemi rilevati nella giornata di ieri dal sito downdetector.com, che rileva le difficoltà di collegamento con i siti internet.

Il grosso dell’attacco ha preso di mira il servizio di Managed DNS di Dyn.com, che paradossalmente dovrebbe fornire un servizio DNS più affidabile e resistente a problemi di sovraccarico, perché in grado di gestire dinamicamente il traffico, indirizzandolo a server diversi e ridondati, con criteri basati sulla posizione geografica o sull’occupazione delle risorse. i siti più colpiti, apparentemente, non avevano però applicato efficacemente il criterio di ridondanza anche al servizio DNS.

Scarica la guida gratuita in PDF: Come difendere i propri DNS da attacchi DDoS

Un primo attacco ha colpito principalmente gli utenti internet della costa Est degli Stati Uniti nella nostra tarda mattinata, ed è stato mitigato efficacemente da Dyn.com nel giro di poche ore. In serata, però, l’attacco è ripreso su scala maggiore e gli effetti si sono diffusi oltre che negli USA anche in vaste porzioni di Europa e Sud America.

Chi sta attaccando i DNS americani?

Se già con un normale DDoS è difficile risalire velocemente all’origine dell’attacco, proprio per la sua struttura distribuita che coinvolge migliaia di pc, router e altri dispositivi compromessi o mal configurati, in un caso così eclatante non sarà facile – perlomeno per il pubblico – risalire ai veri responsabili, anche per le conseguenze politiche che un’accusa diretta potrebbe avere.

Dave Allen, un manager di Dyn.com, ha detto che l’azienda ha potuto determinare, anche con il supporto di Akamai e Flashpoint, che parte dell’attacco è stato eseguito attraverso la botnet Mirai, composta non da PC ma da router e dispositivi IoT vulnerabili.

Ipotesi 1: Cina

Nelle scorse settimane, l’esperto di security Bruce Schneier, aveva pubblicato un post sul suo blog in cui affermava che i recenti attacchi DDoS portati a servizi DNS americani erano un modo per sondare l’efficacia delle difese informatiche in vista di un attacco più grande e decisivo. Gli attacchi seguivano infatti un pattern particolare: la banda impiegata aumentava fino a un certo livello, per poi interrompersi. Una settimana dopo, l’attacco riprendeva dal livello di traffico in cui si era precedentemente fermato, e procedeva fino a un nuovo limite. E così via. Senza rivelare fonte e dettagli delle sue informazioni, Schneier suggeriva la Cina come l’ipotesi del colpevole più probabile.

Sempre nella giornata di ieri, la Cina è stata indicata come possibile responsabile di un attacco informatico mirato a sottrarre informazioni dalla portaerei americana Reagan.

Ipotesi 2: Russia

C’è chi invece punta il dito verso la Russia, già accusata essere dietro le quinte degli attacchi informatici al Partito Democratico che hanno portato alla diffusione di email interne compromettenti da parte di WikiLeaks.

La scorsa settimana, il Presidente Obama aveva minacciato di star contemplando un “attacco informatico senza precedenti contro la Russia”, se questa avesse tentato di interferire con le prossime elezioni USA. I sostenitori dell’ipotesi “DDoS che viene dal freddo”, interpretano quindi l’attacco di ieri come una prova di forza russa.

Ipotesi 3: hacktivismo interno/globale

Tornando a WikiLeaks, questa ha postato poche ora fa un tweet – non si sa bene quanto ironico – in cui afferma che il capo dell’organizzazione Julian Assange è vivo e sta bene, WikiLeaks sta pubblicando regolarmente e che i suoi sostenitori possono sospendere l’attacco in corso, avendo già dato prova delle proprie capacita.

Il tutto va inquadrato nella frenetica escalation di avvenimenti che negli ultimi giorni hanno riguardato Assange e WikiLeaks.

Recentemente si è infatti diffusa la notizia della morte di Assange, alimentata da una sua temporanea assenza in rete e dal fatto che sul profilo Twitter di WikiLeaks erano apparsi dei post molto criptici (un nome file e una stringa di hash), che qualcuno ha interpretato essere inviati da un “dead man switch” (una procedura automatica che si attiva se non riceve segnali da una certa persona per un po’ di tempo, cosa che starebbe a indicare la sua morte, detenzione o impossibilità a comunicare).

Questi tweet criptici sono in realtà tutt’altro: sono una sorta di “prova preventiva” della autenticità di un documento che sarà pubblicato in seguito. L’ambasciata dell’Equador a Londra, dove Assange gode di asilo politico, ha confermato di aver volontariamente limitato l’accesso a internet all’ingombrante ospite, che però è vivo e sta bene.

Nelle ore dell’attacco DDoS, però, WikiLeaks ha twittato una foto che mostrava agenti pesantemente armati in un’auto davanti all’ambasciata dell’Equador.

Nella notte di venerdì, mentre pubblichiamo questo articolo, l’allarme sembra essere rientrato. Speriamo di non dover pubblicare ulteriori aggiornamenti.