Motivi per attacchi DDoS
«Ogni azienda finisce sul radar»
Il DDoS Protection Service di Swisscom respinge ogni giorno attacchi DDoS rivolti a clienti e alla propria infrastruttura. Un membro del team Security spiega i motivi e gli obiettivi degli hacker e in che modo le aziende possono uscire dal mirino di questi ultimi.
Testo: Felix Raymann, Immagini: iStock by Getty Images, 14 novembre 2018, Aggiornato il 21 giugno 2021
Oggi Swisscom è già stata oggetto di un attacco DDoS?
Sì, di alcuni. Siamo a metà giornata e come ogni giorno abbiamo già un intero elenco di attacchi che sono stati automaticamente riconosciuti e resi inoffensivi dai nostri sistemi.
Swisscom è un obiettivo particolarmente interessante per gli hacker?
Come ogni service provider, veniamo attaccati spesso, ma fondamentalmente tutte le aziende che hanno un sito web o servizi esposti possono essere oggetto di attacchi, a prescindere dal settore in cui operano.
«Ogni servizio pubblico e ogni applicazione web può diventare obiettivo di un attacco DDoS.»
Vi sono settori e aziende particolarmente presi di mira dagli hacker?
Stando alle statistiche, la maggior parte degli attacchi DDoS riguarda aziende attive nell’ambito del gaming e della finanza. Queste piattaforme sono obiettivi prediletti perché i loro servizi devono garantire una disponibilità elevata e anche solo un’interruzione di breve durata può causare ingenti danni.
Quali obiettivi sono maggiormente redditizi per gli hacker DDoS?
Se gli hacker sono a caccia di soldi e chiedono un riscatto alle loro vittime, i gestori di servizi che devono essere disponibili in ogni momento per molti utenti e senza ritardi rappresentano spesso un obiettivo remunerativo. Può trattarsi ad esempio di banche, autorità, ospedali o aziende elettriche, ma anche di ogni impresa che ha un sito web pubblico e deve garantire che i suoi servizi siano sempre accessibili agli utenti. I criminali informatici scelgono obiettivi che oppongono la resistenza minore e offrono il profitto maggiore.
Una tendenza più recente è il cosiddetto attacco R-DDoS (DDoS combinato con ransomware). Si tratta di un attacco DDoS dopo che i dati di un’azienda sono stati criptati. Quando i dati sono criptati e il sistema è sovraccarico, è devastante per praticamente qualsiasi azienda.
A parte il denaro, quali altre motivazioni hanno gli hacker DDoS?
Le motivazioni variano molto. In alcuni casi si tratta di aziende che vogliono danneggiare la concorrenza e ingaggiano degli hacker per raggiungere il loro scopo attraverso la messa fuori uso di un servizio.
Esistono aziende che fanno capo a mezzi illegali per arrecare danno alla concorrenza?
Sì, mi riferisco ad esempio al commercio globalizzato, dove è senz’altro possibile che persone con le necessarie conoscenze vengano pagate per danneggiare delle aziende.
Come venite a conoscenza di simili casi?
Osserviamo piuttosto attentamente la scena mondiale della criminalità informatica. In forum e piattaforme di commercio illegali assistiamo all’offerta di mandati, competenze nonché interi servizi di attacchi DDoS e malware.
Ma queste persone non si muovono nella rete in modo illegale e nascosto?
Sì, ma devono farsi un nome e una reputazione sulla scena per poter offrire i propri servizi. Quindi possono essere individuate e seguite. In questo modo possiamo scoprire quali sono le ultime tendenze e i malware in circolazione, quali punti deboli vengono sfruttati ecc. Monitoriamo i processi per poter reagire nel modo più rapido e mirato possibile. Naturalmente a tale scopo ci manteniamo anche in contatto con produttori di software di sicurezza e con il Centro nazionale per la cibersicurezza NCSC.
Non tutte le aziende devono temere una concorrenza che agisce in maniera criminale. I gestori di servizi web che operano in un contesto «innocuo» sono al riparo da attacchi DDoS?
Assolutamente no. Il più delle volte gli attacchi sono sferrati in modo mirato contro una determinata azienda o piattaforma web. In altre parole, sono esposti a questo rischio tutti i siti web accessibili pubblicamente e i servizi vulnerabili (ad es. piattaforme di gaming) che hanno una protezione insufficiente e le cui aziende diventano un obiettivo in virtù delle specifiche motivazioni degli hacker . Come già menzionato, gli hacker mossi da interessi monetari non sono selettivi, colpiscono tutte le vittime che trovano.
«Soltanto le aziende che non gestiscono servizi esposti sono al sicuro da attacchi DDoS.»
Nella speranza di ottenere un riscatto con un attacco andato a buon fine, vero?
Esatto. Ma le motivazioni possono anche essere di altra natura. Vi sono ad esempio gruppi di hacker antagonisti che gareggiano in cosiddette «turf wars», dando vita a una spirale di attacchi sempre più grandi.
Quali altre motivazioni hanno gli hacker e in che modo le aziende possono uscire dal radar di questi aggressori informatici?
Ci sono ad esempio gli attivisti hacker che agiscono in maniera mirata e cercano le proprie vittime in base all’ideologia che sostengono. Queste ultime possono essere attori che hanno una determinata posizione politica, etica o ideologica. Pertanto, le organizzazioni che non si espongono con contenuti controversi o politici non rientrano nello schema predatorio di questi hacker. E poi ci sono gli hacker con motivazioni politiche che, per conto di governi, tentano di paralizzare organizzazioni o istituzioni statali attraverso attacchi DDoS. Altri ancora, come i cosiddetti script kiddies, i «ragazzi degli script», vogliono mettere fuori uso dei sistemi per semplice divertimento o sfida. A volte gli attacchi DDoS non sono altro che una manovra diversiva. Ad esempio quando l’hacker vuole impegnare l’Incident Response Team con un attacco per poter installare malware o rubare dati per altre vie.
È possibile riconoscere dagli stessi attacchi chi ne è l’autore e quali motivazioni ha?
Di alcuni attacchi si può determinare la provenienza geografica, ma non se viene utilizzata una botnet dispiegata su scala mondiale. Con il ricorso alla telemetria, che è a disposizione quasi esclusivamente di produttori di antivirus, a determinate condizioni è possibile stabilire i gruppi di autori che si celano dietro agli attacchi. Se ad esempio per un attacco DDoS vengono impiegati i medesimi indirizzi IP usati per tentare di installare un malware, è possibile risalire ai gruppi di autori e alla loro motivazione. Scoprire chi sferra attacchi e perché non rientra tuttavia fra i nostri compiti principali. Ci serviamo di queste informazioni per proteggere le nostre infrastrutture e quelle dei nostri clienti.
Il team Security di Swisscom analizza e neutralizza ogni giorno attacchi DDoS (Distributed Denial of Service). I collaboratori del team impiegano gli efficienti meccanismi di protezione del DDoS Protection Service e ne garantiscono il costante sviluppo. Inoltre osservano con attenzione la scena della criminalità informatica per poter reagire in maniera adeguata ai pericoli e alle tendenze più recenti, proteggendo in tal modo l’infrastruttura IT dei clienti e di Swisscom.
Newsletter
Desiderate ricevere regolarmente articoli e rapporti avvincenti su tematiche ICT di attualità?
Maggiori informazioni
