Il CSIRT Italia ha divulgato un avviso in cui comunica che sono state rilevate attività di preparazione ad ulteriori attacchi DDOS ai danni di soggetti nazionali.

A seguito degli attacchi DDoS occorsi a partire dall’11 maggio 2022 ai danni di soggetti nazionali e internazionali, il CSIRT ha intensificato il monitoraggio specifico della minaccia identificando attività di “probing” delle misure di protezione attive all’interno della constituency nazionale.

Tali attività, che al momento risultano di bassa intensità e che avrebbero avuto inizio almeno dalla data del 12 maggio, potrebbero preludere a successive azioni di attacco DDoS con impatto sulla disponibilità dei servizi vittima.

Le suddette attività sarebbero contraddistinte, in particolare, da:

  • presenza di picchi di traffico UDP e TCP anomalo (in ogni caso superiore alla normale baseline di utilizzo delle risorse interessate);
  • presenza di chiamate HTTP malformate (versione HTTP non valida, assenza del carattere CRLF);
  • presenza di volumi anomali di chiamate provenienti da indirizzi IP appartenenti a servizi di anonimizzazione (rete Tor, proxy anonimi);
  • presenza di chiamate riconducibili ad attacchi di tipo ICMP flood, SYN flood e TCP RST.

Il CSIRT ha consigliato e raccomandato di innalzare il livello di monitoraggio delle anomalie nei servizi erogati della propria organizzazione in particolare se esposti su Internet e di attuare, oltre alle indicazioni già pubblicate dal CSIRT, tutte le misure di prevenzione e mitigazione contro le principali tipologie di attacchi DDoS volumetrici (es. utilizzo di CDN, diversione del traffico), di frammentazione (es. packet/HTTP reconstruction), ad esaurimento di stato TCP e applicativo (es. hardening degli application server, utilizzo di Intelligent DDoS Mitigation System).

 

https://www.csirt.gov.it/contenuti/rilevate-attivita-di-preparazione-ad-attacchi-ddos-verso-infrastrutture-nazionali-al02-220517-csirt-ita

Twitter
Visit Us
LinkedIn
Share
YOUTUBE