Dinamica dell'attacco
Introduzione
Il 28 dicembre 2024, l'Italia è stata teatro di un attacco informatico di ampia portata che ha colpito diversi siti istituzionali, tra cui quelli degli aeroporti di Milano Malpensa e Linate, e il portale del Ministero degli Esteri (Farnesina). L'attacco, rivendicato dal collettivo hacker filorusso NoName057(16), ha scatenato una serie di interrogativi sulla sicurezza informatica delle infrastrutture critiche nazionali.
Nonostante i voli e le operazioni aeroportuali non siano stati compromessi, l'inaccessibilità temporanea dei portali ha generato disagio per i passeggeri e ha messo in evidenza la vulnerabilità del nostro ecosistema digitale. In questo articolo analizziamo la natura dell'attacco, il contesto geopolitico che lo ha generato, e le lezioni che possiamo trarre per rafforzare le difese informatiche.
La Dinamica dell'Attacco: Cos'è un DDoS e Perché è Efficace
L'attacco subito dagli aeroporti e dalla Farnesina è stato identificato come Distributed Denial of Service (DDoS). Questo tipo di attacco si basa sul sovraccarico dei server bersaglio tramite un'enorme quantità di traffico proveniente da una rete di dispositivi infetti (botnet). Il risultato è l'inaccessibilità temporanea dei siti, che diventano incapaci di rispondere alle richieste legittime degli utenti.
Il motivo per cui il DDoS è così diffuso tra i gruppi di hacktivisti è la sua semplicità di esecuzione e il forte impatto mediatico. Non richiede violazioni di dati sensibili o accessi interni, ma colpisce l'immagine dell'ente attaccato e genera disservizi tangibili.
Considerazioni dell'autore: L'attacco DDOS è un tipo di attacco informatico stravecchio e fa più polvere che danni. È un tipo di attacco che va quasi sempre a segno, infatti non esistono contromisure in grado di mitigarlo completamente. Nel mondo underground degli hacker, chi usa questo tipo di attacco viene spesso e volentieri mal visto, poiché solitamente utilizzato da chi non è in grado di fare di meglio. È sostanzialmente la strada facile per causare un minuscolo danno ad una società per poi rivendicare l'attacco e far parlare di sé.
Tecniche Impiegate:
Flood HTTP/S: Invio massiccio di richieste a livello applicativo, sovraccaricando i server web.
UDP Flood: Invio di pacchetti User Datagram Protocol (UDP) per saturare la larghezza di banda.
Botnet Mirai-like: Reti di dispositivi IoT infetti utilizzati per orchestrare l'attacco.
Motivazioni e geopolitica
Motivazioni e Contesto Geopolitico
Il gruppo NoName057(16) è noto per le sue posizioni filorusse e per aver colpito in passato infrastrutture digitali di Paesi considerati ostili alla Russia. La dichiarazione su Telegram "I russofobi italiani ricevono una meritata risposta informatica" evidenzia la natura geopolitica dell'attacco.
Questa ondata di cyber attacchi è parte di una più ampia guerra ibrida, in cui l'obiettivo non è solo arrecare danni fisici, ma anche creare instabilità politica e psicologica attraverso il cyberspazio.
L'Intervento delle Autorità e le Misure di Mitigazione
Il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC) della Polizia Postale ha risposto prontamente, riuscendo a mitigare l'attacco entro due ore. Questo è stato possibile grazie all'impiego di sistemi di mitigazione DDoS e alla collaborazione con provider di rete.
Azioni Intraperse:
Filtraggio del Traffico Malevolo: Identificazione e blocco del traffico proveniente da IP sospetti.
Load Balancing Avanzato: Redistribuzione del traffico legittimo per evitare il collasso dei server.
Scrubbing Centers: Centri di pulizia del traffico che filtrano e reinstradano solo il traffico legittimo verso i server finali.
Prevenzioni per il futuro
Lezioni e Considerazioni per il Futuro
Questi attacchi devono essere visti come un campanello d'allarme. La crescente dipendenza dalle infrastrutture digitali rende essenziale investire nella cybersecurity. Di seguito alcune considerazioni per rafforzare la resilienza:
Prevenzione Proattiva: Implementare sistemi di rilevamento delle intrusioni (IDS) e soluzioni di prevenzione delle intrusioni (IPS).
Test di Resilienza (Red Teaming): Simulare attacchi per valutare la reattività e migliorare i piani di risposta.
Formazione del Personale: La componente umana resta un anello debole. Formare il personale è cruciale per prevenire attacchi di ingegneria sociale.
Partnership Pubblico-Privato: La collaborazione tra enti governativi e aziende tecnologiche è fondamentale per una risposta coordinata ed efficace.
Conclusione
L'attacco agli aeroporti italiani di dicembre 2024 evidenzia l'importanza della sicurezza informatica per proteggere le infrastrutture critiche. Sebbene l'attacco sia stato mitigato con successo, è essenziale che l'Italia continui a rafforzare le proprie difese per affrontare minacce sempre più sofisticate.
Investire in cybersecurity non è solo una necessità tecnica, ma un imperativo strategico per garantire la continuità operativa e la sicurezza nazionale. La resilienza digitale è il pilastro su cui costruire la fiducia dei cittadini e delle istituzioni nel futuro.
