Skip to main content

Negli ultimi giorni del 2024, l’Italia ha affrontato una serie di attacchi informatici significativi, principalmente di tipo Distributed Denial of Service (DDoS), che hanno temporaneamente reso inaccessibili diversi siti istituzionali e aziendali. Questi attacchi, rivendicati dal gruppo pro-russo Noname057(16), hanno colpito infrastrutture critiche e aziende di rilievo nel paese. 

Cronologia degli attacchi

  • 28 dicembre 2024: circa dieci siti ufficiali italiani, tra cui quello del Ministero degli Affari Esteri e dei due aeroporti di Milano (Linate e Malpensa), sono stati temporaneamente disabilitati a causa di un attacco informatico. Il gruppo pro-russo Noname057(16) ha rivendicato l’attacco, definendolo una risposta ai “russofobi” italiani. 
  • 29 dicembre 2024 – sono stati resi indisponibili i seguenti target:
    • mappastorica.intesasanpaolo
    • internationalhistory.intesasanpaolo.com
    • proprieta.intesasanpaolo
    • port.taranto
    • asisp.intesasanpaolo.com
    • porto.trieste, il software di gestione delle operazioni di carico e scarico dei veicoli sinfomar
    • Vulcanair (produttore italiano di aeromobili), tra cui il negozio online e il portale di autorizzazione cpanel. 
  • 30 dicembre 2024 – gli attacchi hanno colpito il:
    • Ministero delle Infrastrutture e dei Trasporti
    • Ministero dello Sviluppo Economico
    • Organizzazione dei Carabinieri d’Italia
    • Intesa Sanpaolo S.p.A.
    • Acqua Novara e Acque Veronesi.
  • 11 gennaio 2025 – nuovi attacchi a istituzioni italiane:
    • Ministeri degli Esteri, delle Infrastrutture e dei Trasporti
    • Consob
    • Carabinieri, Marina, Aeronautica,
    • Diverse imprese operanti nel settore del trasporto pubblico locale.
  • 12 gennaio 2025 – attacchi dal gruppo Alixsec
    • Siti di aziende italiane: Vulcanair e Olidata
    • Banche italiane come Monte dei Paschi di Siena e Intesa Sanpaolo
    • Porto di Taranto e Triste

 

Tramite una rete di canali Telegram dedicati, il gruppo diffonde la propria narrazione, rivendicando gli attacchi e mobilitando un seguito che viene attivamente coinvolto.

Analisi degli attacchi

Gli attacchi DDoS mirano a sovraccaricare i server bersaglio con un’enorme quantità di traffico, rendendo i servizi inaccessibili agli utenti legittimi. Sebbene questi attacchi non causino danni permanenti alle infrastrutture, possono interrompere temporaneamente servizi essenziali, causando disagi significativi. La rapidità di risposta dell’Agenzia per la Cybersicurezza Nazionale ha permesso di mitigare gli effetti degli attacchi in meno di due ore, limitando l’impatto sulle operazioni critiche. 

Rispondendo ai giornalisti in Senato, il ministro degli Esteri Antonio Tajani ha annunciato: “Ho dato già mandato al segretario generale della Farnesina di preparare una riforma del ministero per dare vita a una direzione generale che si occupi di sicurezza cibernetica e intelligenza artificiale”.

 

Difendersi dai DDoS

Le moderne strategie di mitigazione DDoS impiegano tecnologie avanzate per filtrare il traffico anomalo a diversi livelli OSI. L’analisi real-time dei flussi di dati consente l’identificazione e la neutralizzazione delle richieste malevole, garantendo la continuità dei servizi critici.

Soluzioni chiave includono: sistemi di traffic scrubbing (filtraggio intelligente del traffico), CDN (Content Delivery Network) per la distribuzione geografica dei contenuti e la riduzione dell’impatto di attacchi localizzati, e meccanismi di Rate Limiting e WAF (Web Application Firewall) per la protezione a livello rete e applicazione.

 

Cosa abbiamo imparato

Analizziamo le principali lezioni apprese e le conseguenti raccomandazioni per rafforzare la resilienza delle infrastrutture aziendali.

1) Complessità e polimorfismo degli attacchi

Gli attacchi DDoS si sono evoluti, diventando più complessi e polimorfici. Non si limitano più a semplici inondazioni di traffico, ma sfruttano tecniche di amplificazione, attacchi a livello applicativo (Layer 7) e botnet IoT sempre più sofisticate. È essenziale implementare sistemi di monitoraggio e risposta attivi in tempo reale per rilevare attività anomale e rispondere prontamente a potenziali minacce.

2) Sfruttamento di vulnerabilità

Gli attaccanti continuano a sfruttare vulnerabilità in dispositivi, server esposti e configurazioni errate per orchestrare attacchi di grande portata. Protocolli come DNS, NTP e memcached vengono spesso abusati per amplificare il traffico malevolo. Bisogna adottare una rigorosa politica di gestione delle patch e di hardening dei sistemi, disabilitando servizi non necessari e implementando controlli di accesso granulari. Monitorare costantemente la superficie di attacco e condurre vulnerability assessment e penetration test periodici.

3) Targeting mirato e motivazioni diverse

Gli attacchi DDoS non sono sempre casuali. Spesso sono mirati a specifici settori (es. finanziario, governativo, e-commerce) e possono essere motivati da estorsioni, competizione sleale, hacktivism o conflitti geopolitici. Le organizzazioni devono sviluppare e testare regolarmente piani di risposta agli incidenti che preveda procedure di escalation e comunicazione e garantisca una gestione efficace durante gli attacchi.

4) Importanza della cyber resilience

La resilienza e la capacità di garantire la continuità operativa sono fondamentali per minimizzare l’impatto sull’attività in caso di attacco DDoS. Importante è implementare meccanismi di ridondanza e failover, sia a livello di infrastruttura che di applicazioni. Testare regolarmente il piano di disaster recovery e business continuity, simulando scenari di attacco DDoS per identificare eventuali lacune. La segmentazione della rete e l’implementazione di un modello Zero Trust aiutano a contenere i danni.

5) Necessità di una strategia di sicurezza olistica

La protezione dagli attacchi DDoS non è un problema isolato, ma parte di una più ampia strategia di cybersecurity. È necessario un approccio olistico che integri diverse misure di sicurezza, condividere informazioni tra enti governativi, aziende private e specialisti in cybersecurity e investire nella formazione del personale sulla sicurezza informatica per ridurre il rischio di compromissione attraverso tecniche di ingegneria sociale, aumentando la resilienza complessiva dell’organizzazione.

 

In conclusione

La prevenzione e la mitigazione degli attacchi DDoS richiedono un approccio proattivo, multistrato e in continua evoluzione, che tenga conto delle nuove tattiche degli attaccanti e delle specifiche esigenze di ogni organizzazione. In un cyberspazio di minacce informatiche multiforme, è cruciale che le organizzazioni italiane rafforzino le proprie difese e si preparano in anticipo a rispondere efficacemente a eventuali attacchi futuri.

Analisi di Vasily Kononov – Threat Intelligence Lead, CYBEROO