L’attacco DDoS (Distributed Denial of Service) contro i siti web del Ministero degli Affari Esteri e del Ministero della Difesa finlandesi è stato il lavoro di una botnet recentemente scoperta, soprannominata Zhadnost, ed è stato probabilmente orchestrato da attori russi o filorussi, secondo i ricercatori di SecurityScorecard (SSC).
L’attacco informatico ha avuto luogo venerdì 8 aprile, nello stesso momento in cui il presidente ucraino Volodymyr Zelensky stava pronunciando un discorso virtuale ai membri del parlamento finlandese, e poche ore dopo una presunta violazione dello spazio aereo finlandese da un aereo russo Ilyushin IL-96-300 – non si sa se fosse un aereo militare, anche se il governo russo è noto per utilizzare questo modello come tale.
Gli analisti di SSC hanno scoperto che l’attacco informatico è stato sostenuto per un periodo di quattro ore ed è stato lanciato da più di 350 indirizzi IP unici da tutto il mondo, ma prevalentemente da bot situati in Bangladesh e in Africa. La maggior parte di loro, l’82%, erano router MikroTik, prodotti da una azienda lettone di hardware di routing e firewall con un focus sui mercati emergenti, con il resto un mix di dispositivi che eseguono Apache, Squid Proxy e Caddy Server.
Ryan Slaney di SSC ha detto che i router MikroTik purtroppo contengono una “serie di vulnerabilità” che rendono la sua base installata uno strumento particolarmente utile per gli attori delle minacce. Si pensa che ci siano circa 875.000 unità distribuite, che potenzialmente rappresentano un “numero quasi infinito” di bot, ha detto.
“La composizione di questi bot è quasi identica a quella della botnet Zhadnost, che è stata responsabile di tre attacchi DDoS separati contro il governo ucraino e siti web finanziari prima e poco dopo l’invasione russa dell’Ucraina“, ha scritto Slaney in un avviso di divulgazione.
“Con l’aggiunta degli oltre 350 bot che abbiamo identificato in questa campagna, SSC è ora a conoscenza di quasi 3.350 bot che compongono la botnet Zhadnost“.
Per saperne di più sugli attacchi DDoS
L’attacco ha avuto un piccolo impatto duraturo, ed entrambi i siti web sono stati rapidamente ripristinati. SSC ritiene che l’operatore della botnet era probabilmente consapevole di questo, e ha inteso l’azione più come una flessione dei muscoli piuttosto che un tentativo di causare danni duraturi.
Tuttavia Slaney ha suggerito che l’attacco DDoS al governo finlandese potrebbe annunciare ulteriori azioni a seconda di come la proposta di adesione della Finlandia alla NATO si rivelerà. Egli ha detto: “Sulla base della storia precedente degli attacchi russi, la prossima mossa nel playbook dell’attore russo delle minacce informatiche sarebbe il dispiegamento di attacchi in stile wiper, possibilmente contro infrastrutture critiche e obiettivi governativi“.
