L’evoluzione degli attacchi DDoS: Una minaccia crescente per le organizzazioni

Non c’è dubbio che negli ultimi 20 anni gli attacchi DDoS si siano evoluti in termini di dimensioni, scala e sofisticazione. Poiché i criminali si avvalgono di nuove tecnologie come i dispositivi IoT per distribuire e amplificare gli attacchi, è diventata una minaccia che le organizzazioni non possono più scegliere di ignorare.

Nel 2018, la National Crime Agency del Regno Unito ha indicato gli attacchi DDoS come la principale minaccia per le aziende, insieme al ransomware. Ha rilevato un forte aumento degli attacchi e ha consigliato alle organizzazioni di adottare misure immediate per proteggersi da questa crescente minaccia.

Nell’era digitale di oggi, la maggior parte delle organizzazioni si affida fortemente alla connettività web e ai servizi online per condurre le proprie attività. Qualsiasi interruzione di questo servizio può avere gravi conseguenze, tra cui la perdita di entrate, l’interruzione del servizio, il danneggiamento della reputazione del marchio, la perdita di clienti e il furto di dati preziosi.

Ma cos’è un attacco DDoS? Un attacco DDoS (distributed denial-of-service) è un tentativo di rendere indisponibile un servizio online sovraccaricandolo con enormi volumi di traffico provenienti da più fonti. Questi tipi di attacchi sono in genere causati dall’inondazione di un sito web con un traffico superiore a quello che il server può gestire.

Esaminando 10 dei più grandi attacchi DDoS della storia, possiamo vedere come si sono evoluti questi attacchi e quali lezioni si possono imparare.

I principali attacchi DDoS

1. GitHub (2018)

Il 28 febbraio 2018 GitHub, il popolare servizio di gestione del codice online utilizzato da milioni di sviluppatori, è stato colpito dal più grande attacco DDoS di sempre. La piattaforma era abituata a livelli di traffico elevati, ma non era preparata al massiccio afflusso di traffico che ha raggiunto un picco record di 1,3 terabit al secondo.

L’attacco a GitHub non ha coinvolto botnet ma ha utilizzato un metodo noto come memcaching, un sistema di caching dei database utilizzato per velocizzare siti web e reti. Gli aggressori sono riusciti a falsificare l’indirizzo IP di GitHub e ad amplificare in modo massiccio i livelli di traffico diretti verso la piattaforma.

Fortunatamente GitHub utilizzava un servizio di protezione DDoS e nel giro di 10 minuti dall’attivazione dell’attacco, l’azienda è stata in grado di contenere e bloccare l’attacco.

2. Dyn (2016)

Il secondo più grande attacco DDoS è stato diretto a Dyn, un importante provider DNS, nell’ottobre 2016. L’attacco è stato estremamente dirompente e ha mandato in tilt i siti web di oltre 80 clienti, tra cui Amazon, Netflix, Airbnb, Spotify, Twitter, PayPal e Reddit.

Utilizzando un malware chiamato Mirai, gli hacker hanno creato un’enorme botnet di 100.000 dispositivi Internet of things (IoT) per lanciare il loro attacco. I dispositivi comprendevano radio, smart TV e stampanti ed erano tutti programmati per inviare richieste a Dyn e sovraccaricarlo di traffico.

Si ritiene che i danni dell’attacco siano costati 110 milioni di dollari e, nonostante l’attacco sia stato contenuto nel giro di un giorno, nell’immediatezza dell’attacco oltre 14.500 domini hanno abbandonato i servizi di Dyn.

3. Hong Kong (2014)

Nel 2014, un massiccio attacco DDoS ha preso di mira il movimento pro-democrazia di Hong Kong, Occupy Central. Gli hacker hanno inviato enormi volumi di traffico a tre dei servizi di web hosting di Occupy Central, tra cui due siti di notizie indipendenti noti come PopVote e Apple daily.

Utilizzando cinque botnet, gli hacker hanno bombardato i server con pacchetti di spazzatura mascherati da traffico legittimo. Al suo apice, il traffico ha raggiunto oltre 500 gigabit al secondo, mandando in tilt entrambi i siti web. L’attacco è stato utilizzato anche per introdursi nei loro database, con il risultato che i dipendenti di PopVote sono stati bombardati da e-mail di phishing.

4. Cliente Cloudflare senza nome (2014)

Nel 2014, un cliente della società di protezione DDoS Cloudflare è stato colpito da un enorme attacco DDoS che lo ha bombardato con oltre 400 gigabit di traffico al secondo. L’attacco ha preso di mira i server in Europa e ha sfruttato il Network Time Protocol (NTP), normalmente utilizzato per sincronizzare gli orologi delle macchine, per rallentare i tempi di risposta. Gli attacchi NTP Amplification sono estremamente difficili da bloccare perché le risposte sono dati legittimi che sembrano provenire da server validi.

L’attacco è durato diversi giorni ed è stato così potente che, nonostante fosse rivolto a uno dei clienti di Cloudflare, ha finito per colpire la rete di Cloudflare stessa.

5. Spamhaus (2013)

Nel 2013 è stato lanciato un attacco DDoS contro Spamhaus, un’organizzazione leader nel settore del filtraggio dello spam. L’azienda è responsabile del filtraggio dell’80% di tutto lo spam, il che la rende un obiettivo interessante per le minacce e gli attacchi.

Utilizzando una strategia nota come riflessione del Domain Name System (DNS), gli hacker hanno bombardato Spamhaus con oltre 300 gigabit di traffico, mettendo offline il sito web e parte dei servizi di posta elettronica. Per arginare l’attacco, Spamhaus si è rivolta a Cloudflare per chiedere aiuto, ma gli hacker hanno cambiato obiettivo e hanno tentato di distruggere il servizio di protezione DDoS. L’attacco è durato più di una settimana e ha causato enormi interruzioni di rete in tutto il Regno Unito.

6. Banche statunitensi (2012)

Nei mesi di settembre e ottobre 2012, sei grandi banche statunitensi sono state prese di mira da una serie di attacchi DDoS. Tra le banche c’erano Bank of America, JP Morgan Chase, US Bancorp, Citigroup e PNC Bank.

L’attacco è stato portato avanti da centinaia di server dirottati, che hanno bersagliato le banche con oltre 60 gigabit di traffico al secondo. L’attacco è durato oltre tre giorni, interrompendo i servizi e rallentando i sistemi della banca. L’attacco è stato unico nel suo genere: invece di un attacco concentrato, gli hacker hanno provato una serie di metodi diversi per scoprire quello che avrebbe causato il maggior numero di danni.

7. GitHub (2015)

All’epoca, l’attacco a GitHub del 2015 era uno dei più grandi mai avvenuti. Il traffico DDoS ha avuto origine in Cina e ha preso di mira due URL di progetti GitHub che miravano a evitare la censura di stato cinese.

Si pensa che l’attacco a sfondo politico sia stato istigato dal governo cinese e che l’obiettivo fosse quello di fare pressione su GitHub affinché abbandonasse i progetti.

Gli hacker hanno portato a termine l’attacco iniettando un codice JavaScript nei browser di tutti coloro che hanno visitato Baidu, il più popolare motore di ricerca cinese. Il codice ha fatto sì che i browser infetti inviassero richieste HTTP alle pagine di GitHub prese di mira e, per tutta la durata dell’attacco, GitHub ha subito interruzioni in tutta la sua rete.

8. Estonia (2007)

Nell’aprile 2007, l’Estonia è stata colpita da un massiccio attacco DDoS che ha preso di mira servizi governativi, banche, istituzioni finanziarie e media. L’attacco è considerato uno dei primi grandi atti di guerra informatica ed è avvenuto in risposta a un conflitto politico con la Russia per il trasferimento del “Soldato di Bronzo di Tallinn”, un monumento della Seconda Guerra Mondiale.

Le botnet hanno inviato massicce ondate di spam e un’enorme quantità di richieste online ha sommerso i server. Nonostante non ci siano prove concrete che la Russia sia dietro l’attacco, questo ha portato alla creazione di leggi internazionali sulla guerra informatica.

9. Mafiaboy (2000)

Nel febbraio del 2000, un hacker quindicenne noto come “Mafiaboy” ha messo fuori uso diversi siti web commerciali tra cui CNN, Amazon, eBay, Dell e Yahoo. L’adolescente ha utilizzato una rete di bot per ottenere il controllo di milioni di computer e utilizzarli per inondare i siti web con un volume di traffico spropositato.

Gli attacchi, molto pubblicizzati, sono durati più di una settimana, creando il caos nei mercati azionari e portando alcuni siti al blocco virtuale.

10. BBC (2015)

La notte di Capodanno del 2015, la BBC è stata vittima di un attacco DDoS prolungato da parte del gruppo anti-Stato Islamico (IS) New World Hacking. L’attacco ha messo fuori uso il sito web di BBC News e il servizio iPlayer per oltre tre ore. Nonostante la ripresa del servizio, l’intero dominio ha subito notevoli disagi per il resto della giornata.

L’attacco ha utilizzato due server di Amazon Web Services (AWS) per sfruttare una larghezza di banda illimitata e gli hacker hanno dichiarato di aver attaccato a una velocità di 600 gigabit al secondo, anche se questo dato è stato successivamente contestato.

L’urgente necessità di strategie di difesa DDoS proattive

Come si evince da questo elenco esaustivo, gli attacchi DDoS hanno il potenziale per mettere fuori uso interi siti web aziendali, reti e, come ha dimostrato l’attacco di Dyn, quasi l’intera rete internet.

Man mano che gli attacchi diventano più sofisticati, le organizzazioni dovranno adottare un approccio più proattivo per difendersi dagli attacchi. Alcuni dei più grandi attacchi della storia sono stati mitigati grazie al rapido rilevamento delle aziende di protezione DDoS.

Le organizzazioni dovrebbero prendere in considerazione l’utilizzo di un servizio di protezione DDoS che rilevi i flussi di traffico anomali e reindirizzi il traffico DDoS dalla rete. Altre misure di sicurezza includono la protezione dell’infrastruttura di rete attraverso l’uso di firewall, VPN, antispam e altri livelli di tecniche di difesa DDoS.

MetaCompliance è specializzata nella creazione del miglior eLearning e formazione sulla Cyber Security disponibile sul mercato. I nostri prodotti affrontano direttamente le sfide specifiche che derivano dalle minacce informatiche e dalla governance aziendale, rendendo più facile per gli utenti impegnarsi nella sicurezza informatica e nella conformità. Contattaci per avere maggiori informazioni su come possiamo aiutarti a trasformare la formazione sulla sicurezza informatica all’interno della tua organizzazione.