A cura di Ivan Straniero, Territory Manager SEE Europe, Arbor Networks
Non vi è alcuna particolare sottigliezza né sfumatura in un attacco DDoS: la console per la gestione degli incidenti si illumina come un albero di Natale, scattano tutti gli allarmi che segnalano il fermo o il rallentamento della rete, gli utenti del sistema e i relativi responsabili iniziano a inoltrare messaggi in preda al panico perché l’attività è bloccata. Chiunque ne sia vittima si interroga: chi mai avrebbe dovuto farci questo? Si tratterà di una cyber-estorsione? Un concorrente sleale? Hacktivisti che cercano di mandare un messaggio?
La realtà può essere molto più complessa rispetto a ciò che le apparenze suggeriscono. Un attacco DDoS può costituire infatti un paravento per nascondere attività assai più dannose come furti o frodi. Mentre si lavora affannosamente per mitigare l’attacco DDoS e riportare online le applicazioni critiche, i cyber-criminali potrebbero essere in azione sotto traccia per cercare di entrare nei sistemi presi di mira e darsi ad attività ben più pericolose. Per esempio:
- – Degli hacker hanno bombardato Carphone Warehouse con traffico online mentre stavano sottraendo i dati personali e bancari di 2,4 milioni di clienti.
- – Il cloud provider Linode ha recentemente subìto più di 30 attacchi DDoS che sono sembrati essere una finta per distrarre l’attenzione da una effrazione di account utenti.
- – Già nel 2011 alcuni hacker erano ricorsi ad attacchi Denial of Service di enormi dimensioni per distrarre il team IT di Sony mentre venivano sottratte le informazioni di milioni di clienti.
- – Il FFIEC (Federal Financial Institutions Examination Council) americano ha messo in allerta le banche circa l’utilizzo di attacchi DDoS come tattica diversiva “da parte di criminali che intendano commettere frodi usando credenziali sottratte a clienti o dipendenti della banca per eseguire trasferimenti di denaro illeciti”.
Questi attacchi condotti a scopo diversivo sono in aumento, probabilmente dal momento che il software utilizzato per lanciare attacchi DDoS è facilmente reperibile. Lo studio 2016 Worldwide Infrastructure Security Report pubblicato da Arbor Networks ha interpellato oltre 350 tra aziende e service provider scoprendo che il 26% degli attacchi DDoS non è stato altro che un paravento per nascondere una sottrazione di dati o un ingresso illecito nei sistemi. L’anno precedente questo dato era al 16%, quindi è stato verificato un incremento del 61%. Questi risultati hanno trovato eco in un recente report di Kaspersky Labs che sottolineava come il 26% degli attacchi DDoS abbia portato alla perdita di dati sensibili.
Cosa potrebbero nascondere?
Gli attacchi DDoS sono stati utilizzati come diversivo o paravento in varie fasi della kill chain di un cyber-attacco. Nell’ambito di attacchi complessi sono stati documentati i casi che seguono:
- – Ricognizione: In questa fase iniziale i cyber-criminali lanciano un piccolo attacco DDoS per valutare le capacità di difesa e di risposta del bersaglio. Se scoprono che il livello di sicurezza è basso, allora vi si dedicano sondando con discrezione il sistema ed eseguendo lo scan delle porte alla ricerca di vulnerabilità da poter sfruttare per accedere all’organizzazione colpita. Le conoscenze raccolte in questa fase saranno successivamente usate nella fase di Estrazione Dati/Completamento Missione.
- – Delivery e Attivazione del Malware: Una volta penetrati nella rete, i cyber-criminali installano malware sulle macchine presenti. Per coprire le proprie tracce lanciano inoltre un attacco DDoS così da saturare i tool di rilevamento e analisi forense rendendo molto più ardua l’identificazione dell’effrazione e del malware installato.
- – Estrazione Dati/Completamento Missione: Nella fase finale i cyber-attaccanti lanciano un attacco DDoS a scopo diversivo mentre sottraggono informazioni sensibili come dati di carte di credito, proprietà intellettuale o altri informazioni di valore. Mentre la vittima è distratta possono quindi sgattaiolare via con il loro bottino e l’attacco DDoS ha misteriosamente termine.
Non facilitargli le cose
Se si è vittime di un attacco DDoS, bisogna ricordare che è possibile si tratti di un evento non isolato. Bisogna assicurarsi che all’interno della propria rete non stia accadendo nulla che possa essere collegato all’attacco, altrimenti le conseguenze potrebbero essere decisamente peggiori. È possibile, anzi, riuscire a ricavare dall’attacco DDoS alcuni indizi utili ad analizzare meglio l’incidente. Per esempio, sapendo da dove proviene l’attacco si può capire chi sia il responsabile e quali siano le tattiche, tecniche e procedure (TTP) che utilizza, così da iniziare a ricercare altri indicatori di compromissione (IoC) che possano segnalare l’esistenza di una campagna di minacce di più ampia portata.
Ma perché correre il rischio? Prevenire attacchi paravento e i danni che potenzialmente ne derivano è una ragione in più per cui le aziende investono in una solida protezione DDoS. Come un ladro a caccia di porte non chiuse a chiave, i cyber-criminali cercano i bersagli più semplici e immediati. Se si rendono conto che i loro bersagli possiedono le difese adatte a deflettere l’attacco iniziale, è assai più probabile che abbandonino le loro intenzioni e passino a ricercare un’altra vittima.