Quando le truppe di terra russe si sono preparate a entrare in Ucraina nel febbraio 2021, i dipartimenti governativi ucraini, le organizzazioni di media online, le società finanziarie e i provider di hosting sono stati colpiti da un’ondata di attacchi DDoS (Distributed Denial of Service). Questi attacchi sono aumentati in frequenza e impatto solo quando i carri armati russi hanno attraversato il confine, aumentando la frenesia e il caos di quel periodo. Per reagire prontamente, l’esercito informatico ucraino ha preso vita nei primi giorni del conflitto. Proprio come l’esercito di volontari ucraino sul campo, le reclute sono affluite da tutto il mondo per prendere parte alla guerra online tra Russia e Ucraina, con un aumento del 236% degli attacchi DDoS osservati tra febbraio e marzo. Ciò che sembra chiaro è che, sia che vengano sferrati da hacktivisti o da Stati nazionali, gli attacchi DDoS sono spesso la salvezza iniziale tra le forze opposte negli attuali conflitti geopolitici. Rispetto ad altri tipi di minacce informatiche, gli attacchi DDoS possono essere lanciati in tempi relativamente brevi. Inoltre, se da un lato gli attacchi DDoS possono provocare di per sé un’interruzione significativa, dall’altro possono anche mascherare o distrarre l’attenzione da minacce più significative. E, come si è visto in Ucraina e altrove, l’uso degli attacchi DDoS sul campo di battaglia digitale sembra essere in aumento. Questo articolo esaminerà la storia degli attacchi DDoS per i conflitti geopolitici rispetto agli attacchi recenti, fornendo spunti che le organizzazioni possono utilizzare per proteggersi dai danni collaterali.In sintesi, gli eventi dell’ultimo anno hanno dimostrato che gli attacchi DDoS – siano essi lanciati da Stati nazionali, gruppi ideologici o individui disonesti – non diminuiranno presto. Gli attacchi DDoS rimangono uno strumento efficace per interrompere le reti e ridurre il morale dei Paesi coinvolti in sconvolgimenti sociopolitici, con nuovi attacchi che si verificano ogni giorno. Per rimanere protette in questo periodo di guerre e conflitti geopolitici, le organizzazioni devono rimanere vigili nella loro difesa.
2022: un anno da record per gli attacchi DDoS
L’uso di attacchi DDoS per ottenere vantaggi geopolitici non è una novità, ma la frequenza con cui questo tipo di attacchi sta crescendo è degna di nota. Nell’ultimo “DDoS Threat Intelligence Report”, Netscout ha riportato più di 6 milioni di attacchi nella prima metà del 2022. Di questi attacchi, la maggior parte corrispondeva a conflitti nazionali o regionali. Per continuare con l’esempio dell’Ucraina, la frequenza degli attacchi DDoS diretti all’Ucraina si è stabilizzata nell’aprile 2022, mentre i cyberattacchi sono aumentati contro gli alleati percepiti dell’Ucraina. Ciò è probabilmente attribuibile alla migrazione delle proprietà di Internet ucraine verso Paesi come l’Irlanda, poiché l’instabilità di Internet all’interno dell’Ucraina ha costretto molti segmenti di rete a fare affidamento sulla connettività di altri Paesi. Gli echi di questo conflitto continuano a risuonare nell’Internet globale. Nel marzo 2022, l’India ha registrato un aumento misurabile degli attacchi DDoS in seguito alle sue astensioni dalle votazioni del Consiglio di sicurezza e dell’Assemblea generale delle Nazioni Unite che condannavano le azioni russe in Ucraina. Allo stesso modo, nella prima metà dell’anno, il Belize ha subito il numero più alto di attacchi DDoS nello stesso giorno in cui ha rilasciato dichiarazioni pubbliche a sostegno dell’Ucraina. Altrove, la Finlandia, paese vicino alla Russia, ha registrato un aumento del 258% degli attacchi DDoS rispetto all’anno precedente, in concomitanza con l’annuncio della richiesta di adesione alla NATO. Polonia, Romania, Lituania e Norvegia, invece, sono state bersaglio di attacchi DDoS da parte di avversari legati a Killnet, un gruppo di aggressori online allineati con la Russia. Ma questi esempi radicati nel conflitto tra Russia e Ucraina non sono gli unici campi di battaglia online in cui si consumano scontri geopolitici. Con l’acuirsi delle tensioni tra Taiwan e Cina e tra Hong Kong e Cina nella prima metà dell’anno, le campagne di attacchi DDoS hanno spesso coinciso con eventi pubblici. Ad esempio, in vista della storica visita di Nancy Pelosi a Taiwan quest’estate, il sito web dell’ufficio presidenziale di Taiwan e altri siti governativi sono stati oscurati a causa di attacchi DDoS. In America Latina, durante le controverse elezioni colombiane dello scorso anno, sono state lanciate ondate di attacchi DDoS successivi durante il voto iniziale e il contestato ballottaggio. Un filo conduttore è che molti di questi attacchi utilizzano vettori di attacco noti e servizi DDoS a pagamento, noti anche come servizi booter/stressor, disponibili sul Dark Web. Questi servizi illeciti offrono in genere un livello ristretto di attacchi DDoS dimostrativi gratuiti ai potenziali clienti, abbassando la soglia di accesso per gli aspiranti aggressori, che possono così mettere a punto rapidamente attacchi a costo zero o molto basso. Tuttavia, poiché questi vettori di attacco sono ben noti, possono essere facilmente mitigati nella maggior parte delle circostanze.
Gli attacchi DDoS sono potenzialmente in grado di interrompere seriamente le operazioni su Internet per i loro obiettivi, ma possono anche provocare un impatto collaterale significativo per le organizzazioni e il traffico Internet circostanti. Questo rischio è particolarmente elevato quando l’hosting dei dati e i servizi fluiscono da regioni devastate dalla guerra come l’Ucraina verso località all’estero. In molti degli esempi sopra elencati, l’efficacia degli attacchi dipendeva in larga misura dal fatto che le organizzazioni bersaglio disponessero di difese DDoS organizzate. In Ucraina e in altri Paesi, le organizzazioni non protette sono state rapidamente messe al riparo grazie all’intervento delle società di difesa DDoS globali, che hanno aiutato le organizzazioni ucraine che ne avevano bisogno. Tuttavia, per la maggior parte delle organizzazioni sono ancora necessarie difese continue. In questo contesto, la linea d’azione più prudente per prevenire i danni collaterali è quella di valutare regolarmente i fattori di rischio DDoS, soprattutto per quanto riguarda gli elementi di erogazione diretta dei servizi, i partner della catena di fornitura e altre dipendenze. Le organizzazioni devono assicurarsi che i server, i servizi, le applicazioni, i contenuti e l’infrastruttura di supporto critici rivolti al pubblico siano adeguatamente protetti. Dovrebbero inoltre verificare che i piani di difesa DDoS riflettano le configurazioni e le condizioni operative ideali attuali e che i piani siano testati periodicamente per verificare che possano essere implementati con successo come richiesto.
In sintesi, gli eventi dell’ultimo anno hanno dimostrato che gli attacchi DDoS – siano essi lanciati da Stati nazionali, gruppi ideologici o individui disonesti – non diminuiranno presto. Gli attacchi DDoS rimangono uno strumento efficace per interrompere le reti e ridurre il morale dei Paesi coinvolti in sconvolgimenti sociopolitici, con nuovi attacchi che si verificano ogni giorno. Per rimanere protette in questo periodo di guerra e conflitti geopolitici, le organizzazioni devono rimanere vigili nella loro difesa.
