Il CSIRT, Cyber Security Incident Response Team dell’Agenzia Nazionale per la Cybersecurity, ha rilasciato nella serata di ieri un nuovo alert in cui informa che sono state rilevate attività preparatorie a ulteriori attacchi DDOS ai danni di infrastrutture e soggetti nazionali.

Il bollettino segue quello relativo all’analisi degli attacchi DDoS rivendicati dall’organizzazione russa Killnet e che si sono manifestati in Italia e altri paesi a partire dall’11 maggio, ma in questo caso riguarda il rilevamento di manovre preparatorie ad attacchi che ancora non sono stati effettuati.

Queste azioni degli attaccanti, di bassa intensità, sono iniziate il 12 maggio e si manifestano principalmente con: 

  • presenza di picchi di traffico UDP e TCP anomalo (in ogni caso superiore alla normale baseline di utilizzo delle risorse interessate);
  • presenza di chiamate HTTP malformate (versione HTTP non valida, assenza del carattere CRLF);
  • presenza di volumi anomali di chiamate provenienti da indirizzi IP appartenenti a servizi di anonimizzazione (rete Tor, proxy anonimi);
  • presenza di chiamate riconducibili ad attacchi di tipo ICMP flood, SYN flood e TCP RST.

Il CSIRT raccomanda di innalzare il livello di monitoraggio per rilevare eventuali anomalie nel traffico di servizi esposti a Internet, e di applicare le misure di difesa contro gli attacchi DDoS già segnalate nel bollettino CSIRT del 13 maggio, che includono anche specifiche configurazioni per i principali web server (Apache, Ngninx, Lighthttpd e IIS di Microsoft).

Un altro documento del CSIRT da consultare sicuramente è l’analisi delle vulnerabilità più sfruttate dai gruppi di attacco russi, o ritenuti tali, e delle relative tecniche di attacco utilizzate. Nella tabella pubblicata dal CSIRT è possibile individuare le specifiche versioni dei software aziendali più utilizzati e avere indicazioni sulle patch da applicare e su ulteriori azioni di mitigazione suggerite.