Gli attacchi Denial-of-Service (DoS) sono una minaccia costante per le organizzazioni e le infrastrutture. Mentre molte tassonomie esistenti si concentrano sulle caratteristiche tecniche e sul tipo di difesa, il recente rapporto ENISA propone un approccio innovativo alla classificazione degli attacchi. In particolare, si basa sulla motivazione e sugli obiettivi degli attacchi, poiché questi parametri giocano un ruolo chiave nella generazione di interruzioni a un target.
E’ evidente che l’introduzione di una classificazione degli attacchi DoS offre diversi vantaggi. In primo luogo, consente una strutturazione iniziale della conoscenza in questo campo, facilitando l’analisi successiva. In secondo luogo, mira a migliorare le attività di threat intelligence, e ha come obiettivo quello di portare coerenza e standardizzazione facilitando la cooperazione e la comunicazione tra gli attori coinvolti.
Struttura della Classificazione
Le informazioni sull’attacco includono motivazione, obiettivo, metodo e tecnica, mentre le informazioni sul target comprendono servizio, risorsa, livello di interruzione e durata dell’interruzione.
Classificazione delle Informazioni sull’Attacco
La motivazione è ciò che sta dietro la decisione di effettuare un attacco DoS e non è l’obiettivo. Sono state identificate quattro motivazioni principali: finanziaria, politica o attivista, sociale e strategica.
Gli attacchi DoS possono essere motivati finanziariamente, sia per ottenere guadagni attraverso l’estorsione, sia per causare perdite economiche. Le motivazioni possono altresì derivare da scopi politici o attivistici. Le motivazioni sociali possono fungere da catalizzatore per gli attacchi DoS, allo stesso modo, le motivazioni possono assumere un carattere strategico, con attacchi sponsorizzati da attori statali o parastatali.
Motivazioni Finanziarie
Le motivazioni finanziarie costituiscono una delle principali spinte dietro gli attacchi DoS. Questi attacchi possono essere direttamente incentrati sul guadagno monetario attraverso l’estorsione. Gli aggressori lanciano o minacciano di lanciare attacchi DoS/DdoS contro un’organizzazione o un’azienda a meno che non paghino un riscatto. Inoltre, gli attacchi DoS possono essere utilizzati per causare danni economici all’obiettivo, interrompendo i servizi e causando perdite finanziarie significative.
Motivazioni Politiche o Attiviste
Motivazioni di natura politica o attivista sono spesso dietro gli attacchi DoS, vedono protagonisti gruppi che cercano di esercitare pressioni su organizzazioni specifiche o condurre operazioni di cyberwar. Questi attacchi possono essere parte di una strategia più ampia per sostenere una causa, vendicarsi di azioni passate o mettere in evidenza determinate questioni politiche o sociali.
Motivazioni Sociali
Le motivazioni sociali possono alimentare attacchi DoS, con individui o gruppi che agiscono spinti da rancori personali, desideri di notorietà o per vendetta. In alcuni casi, gli attacchi possono essere il risultato di controversie personali o conflitti che si riflettono nel mondo digitale attraverso azioni dannose volte a danneggiare reputazioni o creare disagi.
Motivazioni Strategiche
Le motivazioni strategiche rappresentano un’altra categoria dietro gli attacchi DoS, spesso associate a sponsorizzazioni statali o a obiettivi direttamente alimentanti dalla ricerca di un vantaggio competitivo nel settore aziendale o in situazioni di guerra informatica. Gli attacchi DoS sponsorizzati dallo Stato possono essere parte di una strategia più ampia per indebolire i rivali, mentre quelli a scopo competitivo possono mirare a ottenere un vantaggio strategico nel mercato o nell’arena digitale.
Obiettivo dell’Attacco
– Discredito: Minare la reputazione del target.
– Guadagno finanziario: Ottenere denaro tramite estorsioni.
– Protesta: Manifestare dissenso o protesta.
– Riconoscimento: Ottenere notorietà o riconoscimento.
– Vendetta o Ritorsione: Rispondere a un’azione passata con azioni punitive.
– Prestigio: Ottenere prestigio nel mondo degli attacchi informatici.
– Distrazione: Creare distrazioni per facilitare altri obiettivi.
– Danni Fisici: Causare danni fisici o materiali al target.
– Guerra: Coinvolgimento in attacchi durante conflitti dichiarati.
Metodo dell’Attacco
– Distribuito (DDoS): Utilizzo di botnet o proxy su larga scala.
– Non Distribuito (DoS): Attacchi manuali sfruttando vulnerabilità.
Tecnica/Strumenti
– Botnet: Utilizzo di reti di computer compromessi.
– Sfruttamento di vulnerabilità: Approfittare delle debolezze nel sistema del target.
– Attacchi manuali: Esecuzione manuale degli attacchi.
– Attacchi di spam: Saturare il target con traffico non desiderato.
Classificazione Target
Gli attacchi DoS prendono di mira una vasta gamma di servizi, con un’enfasi particolare sull’infrastruttura web. Tali bersagli includono siti web, applicazioni web e interfacce di programmazione. Oltre a questi, altri servizi sensibili possono essere bersagliati, come l’infrastruttura di rete in generale, server di posta elettronica e comunicazioni satellitari. La diversità dei servizi bersagliati riflette la natura onnicomprensiva degli attacchi DoS, che possono influenzare direttamente la disponibilità di servizi online critici.
Gli attacchi DoS mirano a interrompere la disponibilità di un servizio esaurendo deliberatamente le risorse del target. Queste risorse possono variare ampiamente e includere:
Servizi
– Infrastruttura Web: Siti web, interfacce di programmazione di applicazioni web.
– Infrastruttura di Rete: Server di posta elettronica, comunicazioni satellitari, ecc.
Risorse
– Larghezza di banda: Esaurire la capacità di trasmissione dati.
– Memoria del server: Esaurire la memoria disponibile.
– Unità di elaborazione centrale: Saturare la potenza computazionale.
– Dati: cancellazione o modifica di dati.
Livello di Interruzione
L’efficacia degli attacchi DoS può variare notevolmente, determinando il livello di interruzione subito dal target. Questo livello può essere categorizzato come segue:
- Nessuna Interruzione: Nonostante l’attacco, il target mantiene la sua operatività senza evidenti impatti sulla disponibilità o sulle prestazioni.
- Interruzione Parziale: Il target subisce interruzioni intermittenti o degrado delle prestazioni, ma rimane globalmente operativo.
- Interruzione Totale: Il target subisce una grave interruzione, con utenti incapaci di accedere o utilizzare i servizi.
Durata dell’Interruzione
- Minuti: Interruzioni di breve durata che possono essere rapidamente risolte.
- Ore: Periodi più prolungati di interruzione che richiedono azioni di ripristino più complesse.
- Giorni: Interruzioni sostenute che richiedono approfondite operazioni di recupero.
- Settimane o Mesi: Interruzioni estese che possono avere impatti significativi sulle operazioni dell’organizzazione.
- Sconosciuta: In molti casi, la durata può essere difficile da determinare, poiché spesso non viene prontamente riportata o misurata.
Applicazione del modello
Il 25 agosto 2023, il sistema ferroviario polacco è stato interrotto da un attacco DoS ai meccanismi di stop di emergenza dei treni. Gli attaccanti hanno sfruttato una vulnerabilità nella progettazione del sistema, in particolare la mancanza di crittografia nel segnale radio utilizzato nel sistema ferroviario per controllare questi meccanismi. Hanno quindi inviato un segnale di stop che i treni hanno interpretato correttamente, causando l’arresto della loro operatività.
L’attacco ha assunto rilevanza in quanto la ferrovia polacca era diventata strategica per il sostegno dell’Occidente all’Ucraina contro l’invasione russa. Questo tipo di attacco è significativo poiché, mentre la maggior parte degli attacchi DoS è focalizzata sull’infrastruttura web e su Internet, durante conflitti militari attivi la superficie di attacco si amplia, e le organizzazioni dovrebbero considerare tutti i mezzi come possibili bersagli, compresi i segnali radio, i sistemi wireless e persino i dispositivi fisici. Due cittadini polacchi sono stati arrestati in connessione con l’incidente.
Applicando la classificazione proposta, questo attacco può essere descritto come segue: per quanto riguarda l’attacco, la motivazione potrebbe essere valutata come politica/attivista, l’obiettivo era la disruption, il metodo era DoS e la tecnica era lo spoofing del segnale. Per quanto riguarda il bersaglio, il servizio era l’infrastruttura ferroviaria, la risorsa era la frequenza radio, il livello di interruzione era totale e la durata dell’interruzione è stata di giorni.
@neurobytes