Attacchi informatici russi all’Italia: sono di bassa qualità, ma arrivano a segno. Quali sono le contromisure?

La guerra informatica è una parte integrante della strategia di attacco della Russia nei confronti dell’Ucraina. Già prima dell’inizio ufficiale del conflitto, il Cremlino ha fatto largo uso di attacchi informatici, più o meno estesi e più o meno eclatanti, per testare le infrastrutture del Paese bersaglio. Dopo la mobilitazione militare, le attività sono ovviamente state intensificate, con una coda che è debordata dal bersaglio primario per ricadere sui Paesi che stanno cercando di aiutare l’Ucraina a reggere l’impatto di una guerra impari. Questi attacchi di tipo “secondario” hanno due origini ben distinte: una è frutto dei gruppi di hacker governativi che lavorano in modo organico e organizzato con gli altri enti statali; l’altra dipende da gruppi di hacker attivisti più o meno organizzati che perorano la causa russa senza troppe ambizioni e per lo più a scopo propagandistico (anche se non è ben chiaro a vantaggio di chi). I primi sono gruppi hacker molto ben organizzati, dalle notevoli capacità tecniche e con budget importanti da usare per le loro operazioni. Mirano al furto di dati sensibili, segreti industriali, denaro tramite estorsione o sottrazione di moneta virtuale e così via. I secondi sono dei collettivi che si limitano a lanciare attacchi DDOS o poco più, per lo più a “livello 7”, ovvero contro server che ospitano applicazioni e siti Web. Gli attacchi di cui si parla in questi giorni, tra i quali quelli a Banca Intesa, Monte Paschi, Olidata, alcuni porti italiani, i siti dei ministeri degli Esteri, della Marina, dell’Aeronautica e così via sono molto simili a quelli registrati alla fine dell’anno scorso che avevano preso di mira i siti degli aeroporti di Milano e altri come quello della Farnesina e dei trasporti di Siena. Rientrano tra quelli portati a termine dagli attivisti hacker russi con in prima linea il gruppo NoName057(16) coadiuvato, di recente, dal collettivo pro Palestina Alixsec. La tecnica usata è sempre stata quella di inondare i siti bersaglio con una quantità enorme di richieste in modo da sovraccaricare i computer che li gestiscono e mandarli in crisi, bloccandoli.

Per la precisione, gli ultimi attacchi sono stati di tipo GET Flood, con volumi nell’ordine delle 50mila richieste al secondo. Sebbene il numero sembri importante, questi sono attacchi di media portata, in grado di abbattere solamente quei siti che non sono stati minimamente protetti contro queste eventualità.

«I modi per sostenere questo tipo di attacchi – dice Nicola Ferioli, Manager Solutions Engineering di Akamai, azienda specializzata tra le altre cose proprio in protezioni anti-attacchi DDOS – sono disponibili da tempo, efficaci e anche a portata di ogni tipo di azienda». In pratica, si tratta di interporre tra i server che gestiscono i siti web e l’accesso a Internet dei filtri, detti Web Application Firewall, che controllano se una richiesta arriva da un utente o da un sistema di attacco informatico. Nel primo caso la lasciano passare, nel secondo la bloccano prima che vada a sovraccaricare il sito. Ne esistono di diversi tipi, da quelli ormai quasi obsoleti da mettere in azienda a quelli in cloud che adesso sfruttano anche il Machine Learning (una forma di Intelligenza Artificiale) per scremare più efficacemente le richieste.

Ma se le tecnologie che mettono al riparo da questo tipo di attacchi esistono e sono anche disponibili a prezzi abbordabili, perché non vengono usate da tutti i possibili bersagli?

«Anche se i prezzi sono abbordabili – precisa Nicola Ferioli – “si tratta comunque di una spesa da fare che non tutte le aziende, né i ministeri, si sentono di voler affrontare. Del resto, molte di queste hanno decine se non centinaia di siti esposti su Internet e proteggerli tutti può rappresentare una spesa ingente. Per questo, mirano a coprire alcuni servizi (quelli importanti) e lasciare scoperti quelli secondari.”