Il CSIRT Italia ha divulgato un avviso in cui comunica che sono state rilevate attività di preparazione ad ulteriori attacchi DDOS ai danni di soggetti nazionali.
A seguito degli attacchi DDoS occorsi a partire dall’11 maggio 2022 ai danni di soggetti nazionali e internazionali, il CSIRT ha intensificato il monitoraggio specifico della minaccia identificando attività di “probing” delle misure di protezione attive all’interno della constituency nazionale.
Tali attività, che al momento risultano di bassa intensità e che avrebbero avuto inizio almeno dalla data del 12 maggio, potrebbero preludere a successive azioni di attacco DDoS con impatto sulla disponibilità dei servizi vittima.
Le suddette attività sarebbero contraddistinte, in particolare, da:
- presenza di picchi di traffico UDP e TCP anomalo (in ogni caso superiore alla normale baseline di utilizzo delle risorse interessate);
- presenza di chiamate HTTP malformate (versione HTTP non valida, assenza del carattere CRLF);
- presenza di volumi anomali di chiamate provenienti da indirizzi IP appartenenti a servizi di anonimizzazione (rete Tor, proxy anonimi);
- presenza di chiamate riconducibili ad attacchi di tipo ICMP flood, SYN flood e TCP RST.
Il CSIRT ha consigliato e raccomandato di innalzare il livello di monitoraggio delle anomalie nei servizi erogati della propria organizzazione in particolare se esposti su Internet e di attuare, oltre alle indicazioni già pubblicate dal CSIRT, tutte le misure di prevenzione e mitigazione contro le principali tipologie di attacchi DDoS volumetrici (es. utilizzo di CDN, diversione del traffico), di frammentazione (es. packet/HTTP reconstruction), ad esaurimento di stato TCP e applicativo (es. hardening degli application server, utilizzo di Intelligent DDoS Mitigation System).
