Pasi shënjestroi faqet e disa ministrive, aeroporteve dhe Policisë së Shtetit, grupi Killnet kreu një sulm DDoS ndaj faqes së CSIRT (Ekipi i Reagimit të Incidentit të Sigurisë Kompjuterike) të AGN (Agjencia Kombëtare e Sigurisë Kibernetike), por pa shkak të ndërprerjeve të shërbimit. Ekipi me të vërtetë ka zbuluar dhe zmbrapsur sulmin. Kriminelët rusë kibernetikë i kanë vlerësuar me ironi “specialistët e shkëlqyer” italianë.
CSIRT konfirmon se sulmi i mohimit të shërbimit të shpërndarë (DDoS) filloi në pasditen e vonë të 30 majit dhe përfundoi mbi 10 orë më vonë. Grupi Killnet përdori shumë nga teknikat që ekipi i ilustroi më 20 maj. Sulmi, i cili arriti kulmin prej 40 Gbps, u krye në tre faza.
Gjatë fazës së parë, u dërguan pako të shumta të dhënash që i atribuohen sulmeve të Amplifikimit TCP-SYN, UDP, TCP SYN / ACK (sulmet e shterimit të gjendjes), njëkohësisht me sulmet volumetrike të kryera përmes Amplifikimit DNS dhe Fragmentimit IP. Faza e dytë filloi me një sulm IP Fragmentation dhe më pas me teknikat e përdorura në fazën e parë, me përjashtim të amplifikimit DNS.
Gjatë fazës së tretë, sulmet e lodhjes vëllimore dhe shtetërore u kryen me kohëzgjatje më të gjatë dhe frekuencë më të ulët. Sulmet u zmbrapsën me sistemet anti-DDoS të faqes në internet, duke lejuar akses për përdoruesit. Analiza është ende në vazhdim, ndaj detaje të tjera do të bëhen të ditura në ditët në vijim.
CSIRT rekomandon miratimin e masave të treguara në fund të majit, duke përfshirë sistemet anti-DDoS, CDN (Rrjeti i shpërndarjes së përmbajtjes) dhe WAF (Firewall i aplikacionit në internet). Këto të fundit ofrohen nga disa drejtues të industrisë. Ndër zgjidhjet më të besueshme është Bitdefender GravityZone Business Security.
Grupi pro-rus kishte kërcënuar se do të sulmonte Italinë duke filluar nga ora 5 e mëngjesit të 30 majit, por asgjë nuk ndodhi. Në mbrëmjen e së njëjtës ditë ai publikoi një mesazh në italisht (të dyshimtë) në kanalin Telegram për të uruar CSIRT. Natyrisht ishte sarkazëm (siç shkruajnë në mesazhin e sotëm), duke specifikuar se skuadra bllokoi sulmin me sistemin anti-DDoS të Akamait. Lamer apo troll? Ndoshta të dyja.
Discussion about this post