L'evoluzione degli attacchi DDoS: Una minaccia crescente per le organizzazioni
Non c'è dubbio che negli ultimi 20 anni gli attacchi DDoS si siano evoluti in termini di dimensioni, scala e sofisticazione. Poiché i criminali si avvalgono di nuove tecnologie come i dispositivi IoT per distribuire e amplificare gli attacchi, è diventata una minaccia che le organizzazioni non possono più scegliere di ignorare.
Nel 2018, la National Crime Agency del Regno Unito ha indicato gli attacchi DDoS come la principale minaccia comune che le aziende devono affrontare, insieme al ransomware. Hanno notato un forte aumento degli attacchi e hanno consigliato alle organizzazioni di prendere misure immediate per proteggersi da questa crescente minaccia.
Nell'era digitale di oggi, la maggior parte delle organizzazioni si affida pesantemente alla connettività web e ai servizi online per condurre gli affari. Qualsiasi interruzione di questo servizio può avere serie ramificazioni che includono: perdita di entrate, interruzione del servizio, danni alla reputazione del marchio, perdita di clienti e furto di dati preziosi.
Ma cos'è un attacco DDoS? Un attacco DDoS (distributed denial-of-service) è un tentativo di rendere indisponibile un servizio online sovraccaricandolo con enormi volumi di traffico provenienti da più fonti. Questi tipi di attacchi sono in genere causati dall'inondazione di un sito web con un traffico superiore a quello che il server può gestire.
Esaminando 10 dei più grandi attacchi DDoS della storia, possiamo vedere come questi attacchi si sono evoluti e quali lezioni si possono imparare.
Top attacchi DDoS
1. GitHub (2018)
Il 28 febbraio 2018, GitHub - un popolare servizio di gestione del codice online utilizzato da milioni di sviluppatori, è stato colpito dal più grande attacco DDoS di sempre. La piattaforma era abituata ad alti livelli di traffico, ma ciò a cui non era preparata era il massiccio afflusso di traffico che ha raggiunto il picco record di 1,3 terabit al secondo.
L'attacco di GitHub non ha coinvolto le botnet, ma ha invece utilizzato un metodo noto come memcaching, un sistema di caching del database utilizzato per accelerare i siti web e le reti. Gli aggressori sono stati in grado di falsificare l'indirizzo IP di GitHub e poi amplificare massicciamente i livelli di traffico diretto alla piattaforma.
Fortunatamente, GitHub stava usando un servizio di protezione DDoS, ed entro 10 minuti dall'inizio dell'attacco, l'azienda è stata in grado di contenere e fermare l'attacco.
2. Dyn (2016)
Il secondo più grande attacco DDoS è stato diretto a Dyn, un importante fornitore di DNS, nell'ottobre 2016. L'attacco è stato enormemente dirompente e ha portato giù i siti web di oltre 80 dei suoi clienti tra cui Amazon, Netflix, Airbnb, Spotify, Twitter, PayPal e Reddit.
Utilizzando un malware chiamato Mirai, gli hacker hanno creato una massiccia botnet di 100.000 dispositivi Internet of things (IoT) per lanciare il loro attacco. I dispositivi comprendevano radio, smart TV e stampanti ed erano tutti programmati per inviare richieste a Dyn e sovraccaricarlo di traffico.
Si ritiene che i danni dell'attacco siano costati 110 milioni di dollari e nonostante l'attacco sia stato contenuto in un giorno, nell'immediato dopo l'attacco, oltre 14.500 domini hanno abbandonato i servizi di Dyn.
3. Hong Kong (2014)
Nel 2014, un massiccio attacco DDoS ha preso di mira il movimento pro-democrazia di Hong Kong, Occupy Central. Gli hacker hanno inviato enormi volumi di traffico a tre dei servizi di web hosting di Occupy Central, compresi due siti di notizie indipendenti noti come PopVote e Apple daily.
Utilizzando cinque botnet, gli hacker hanno bombardato i server con pacchetti di spazzatura mascherati da traffico legittimo. Al suo apice, il traffico ha raggiunto oltre 500 gigabit al secondo, portando entrambi i siti web a un brusco arresto. L'attacco è stato utilizzato anche per penetrare nei loro database, con il risultato che i dipendenti di PopVote sono stati bombardati da e-mail di phishing.
4. Cliente Cloudflare senza nome (2014)
Nel 2014, un cliente della società di protezione DDoS Cloudflare, è stato colpito da un enorme attacco DDoS che li ha bombardati con oltre 400 gigabit di traffico al secondo. L'attacco ha preso di mira i server in Europa e ha sfruttato il Network Time Protocol (NTP), normalmente utilizzato per sincronizzare gli orologi delle macchine, per rallentare i tempi di risposta. Gli attacchi NTP Amplification sono estremamente difficili da bloccare in quanto le risposte sono dati legittimi che sembrano provenire da server validi.
L'attacco è durato diversi giorni ed è stato così potente che, anche se era rivolto a uno dei clienti di Cloudflare, ha finito per colpire la rete stessa di Cloudflare.
5. Spamhaus (2013)
Nel 2013, un attacco DDoS è stato lanciato contro Spamhaus, un'organizzazione leader nel settore del filtraggio dello spam. L'azienda è responsabile del filtraggio di ben l'80% di tutto lo spam, il che la rende un obiettivo attraente per minacce e attacchi.
Utilizzando una strategia nota come una riflessione del Domain Name System (DNS), gli hacker hanno bombardato Spamhaus con oltre 300 gigabit di traffico, mettendo il loro sito web offline, così come parte dei loro servizi di posta elettronica. Per aiutare ad arginare l'attacco, Spamhaus si è rivolta a Cloudflare per un aiuto, tuttavia gli hacker hanno cambiato obiettivo e hanno tentato di abbattere il servizio di protezione DDoS nel processo. L'attacco è durato più di una settimana e ha causato enormi interruzioni di rete in tutto il Regno Unito.
6. Banche USA (2012)
Nel settembre e ottobre 2012, sei grandi banche statunitensi sono state bersaglio di una serie di attacchi DDoS. Le banche erano: Bank of America, JP Morgan Chase, US Bancorp, Citigroup e PNC Bank.
L'attacco è stato condotto da centinaia di server dirottati, che hanno preso di mira le banche con più di 60 gigabit di traffico al secondo. L'attacco è durato più di tre giorni, interrompendo i servizi e rallentando i sistemi all'interno della banca. L'attacco è stato unico in quanto piuttosto che un attacco concentrato, gli hacker hanno provato una serie di metodi diversi per scoprire cosa avrebbe causato più danni.
7. GitHub (2015)
All'epoca, l'attacco di GitHub del 2015 era uno dei più grandi mai avvenuti. Il traffico DDoS ha avuto origine in Cina e ha preso di mira due URL di progetti GitHub che avevano lo scopo di evitare la censura statale cinese.
Si pensa che l'attacco politicamente motivato sia stato istigato dal governo cinese e l'obiettivo era quello di fare pressione su GitHub per abbandonare i progetti.
Gli hacker hanno effettuato l'attacco iniettando codice JavaScript nei browser di tutti coloro che hanno visitato Baidu, il motore di ricerca più popolare della Cina. Il codice ha fatto sì che i browser infetti inviassero richieste HTTP alle pagine di GitHub prese di mira e per tutta la durata dell'attacco, GitHub ha subito interruzioni in tutta la sua rete.
8. Estonia (2007)
Nell'aprile 2007, l'Estonia è stata colpita da un massiccio attacco DDoS che ha preso di mira servizi governativi, banche, istituzioni finanziarie e media. L'attacco è considerato uno dei primi grandi atti di guerra informatica ed è avvenuto in risposta a un conflitto politico con la Russia per il trasferimento del "Soldato di bronzo di Tallinn", un monumento della Seconda guerra mondiale.
Ondate massicce di spam sono state inviate da botnet ed enormi quantità di richieste online hanno sommerso i server. Nonostante nessuna prova concreta che la Russia fosse dietro l'attacco, ha portato alla creazione di leggi internazionali per la guerra cibernetica.
9. Mafiaboy (2000)
Nel febbraio 2000, un hacker di 15 anni conosciuto come 'Mafiaboy' ha tirato giù diversi importanti siti web commerciali tra cui CNN, Amazon, eBay, Dell e Yahoo. L'adolescente ha usato una rete di bot per ottenere il controllo di milioni di computer e usarli per inondare i siti web con un volume schiacciante di traffico.
Gli attacchi molto pubblicizzati sono durati più di una settimana, creando il caos nei mercati azionari e portando alcuni siti ad un arresto virtuale.
10. BBC (2015)
La notte di Capodanno 2015, la BBC è stata vittima di un attacco DDoS prolungato da parte del gruppo anti-Stato Islamico (IS), New World Hacking. L'attacco ha portato giù il sito web di BBC News insieme al suo servizio iPlayer per oltre tre ore. Nonostante la ripresa del servizio, l'intero dominio ha subito una significativa interruzione per il resto della giornata.
L'attacco ha utilizzato due server Amazon Web Services (AWS) per sfruttare una larghezza di banda illimitata e gli hacker hanno affermato di aver attaccato ad una velocità di 600 gigabit al secondo, anche se questo è stato poi contestato.
L'urgente necessità di strategie di difesa DDoS proattive
Come si può vedere da questo ampio elenco, gli attacchi DDoS hanno il potenziale per abbattere interi siti web aziendali, reti e, come ha dimostrato l'attacco Dyn, quasi l'intera Internet.
Man mano che gli attacchi diventano più sofisticati, le organizzazioni dovranno adottare un approccio più proattivo per difendersi dagli attacchi. Alcuni dei più grandi attacchi della storia sono stati mitigati grazie al rapido rilevamento delle aziende di protezione DDoS.
Le organizzazioni dovrebbero considerare l'uso di un servizio di protezione DDoS che rilevi flussi di traffico anormali e reindirizzi qualsiasi traffico DDoS lontano dalla rete. Altre misure di sicurezza includono la protezione dell'infrastruttura di rete attraverso l'uso di un firewall, VPN, Anti-spam e altri livelli di tecniche di difesa DDoS.
MetaCompliance è specializzata nella creazione del miglior eLearning e formazione in Cyber Security Awareness disponibile sul mercato. I nostri prodotti affrontano direttamente le sfide specifiche che derivano dalle minacce informatiche e dalla governance aziendale, rendendo più facile per gli utenti impegnarsi nella sicurezza informatica e nella conformità. Contattateci per avere maggiori informazioni su come possiamo aiutarvi a trasformare la formazione sulla sicurezza informatica all'interno della vostra organizzazione.
