Il collettivo russo Killnet attacca l’Italia. Il Computer Security Incident Response Team (CSIRT) italiano ha rivelato i recenti attacchi DDoS contro siti governativi cruciali negli ultimi due giorni.
L’attacco ha visto coinvolti sette siti web. Oltre a quello del Senato e della Difesa, ci sono l’Istituto di studi avanzati di Lucca, che si occupa di tecnologia digitale, l’Istituto superiore di Sanità, il portale Kompass, un database che raccoglie informazioni societarie, Infomedix (una società di servizi alle aziende sanitarie) e l’Automobile Club italiano.
L’attacco è stato rivendicato su Telegram da un gruppo di hackers filo-russo chiamato “Killnet”. Questi criminali hanno utilizzato la cosiddetta tecnica dello “Slow HTTP”. Questo metodo si basa sull’invio di una richiesta HTTP alla volta ai server web, ma imposta la richiesta a una velocità di trasmissione molto lenta o la rende incompleta, lasciando il server in attesa della richiesta successiva. Il server rileva la comunicazione in entrata e alloca risorse dedicate in attesa dei dati rimanenti. Quando ci sono troppi di questi tipi di richieste, il server è sopraffatto e non può accettare più connessioni, rendendo il sito inaccessibile.
Funzionamento
Un attaccante ha la possibilità di aprire numerose connessioni verso i server web inviando una sequenza di richieste GET/POST contenenti dati fittizi finché non viene raggiunto il timeout impostato. Ognuna di queste richieste alloca e tiene occupata una risorsa lato server. Quando viene raggiunto il limite massimo di risorse disponibili (dipendente dalla tecnologia utilizzata), il server non è più in grado di rispondere al traffico legittimo rendendo quindi indisponibile il servizio. Questo tipo di attacco permette di saturare le risorse di un server web utilizzando una larghezza di banda ridotta. Questo genera difficoltà di rilevamento, considerato che i sistemi di Intrusion Detection (IDS) potrebbero valutare le richieste HTTP come legittime.
Analizzando una richiesta HTTP GET di traffico legittimo, si può notare la presenza di CRLF (Carriage Return + Line Feed), sequenza di caratteri non stampabili che viene utilizzata per indicare la fine di una riga. Il server interpreta la presenza del CRLF come la fine della comunicazione con il client e quindi libera le risorse che aveva dedicato a tale comunicazione rendole disponibili per nuove comunicazioni. Il traffico generato dall’attacco, crea una sequenza di richieste HTTP GET non contenente il carattere CTLF. Quindi il server manterrà la sessione attiva senza liberare le risorse fino al raggiungimento del timeout.
CSIRT ha condiviso i possibili modi per mitigare questo tipo di attacco nel suo avviso.
Il collettivo Killnet
Killnet è un collettivo di cyber criminali ritenuto vicino al Cremlino ed è molto attivo nel prendere di mira chiunque sia a sostengo dell’Ucraina. Hanno sferrato un attacco simile alla Romania, colpendo siti governativi dal ministero della Difesa alle ferrovie, e l’aeroporto Bradley negli Stati Uniti.
Killnet ha pubblicato un messaggio su Telegram affermando che potrebbero arrivare ulteriori attacchi in futuro.