Intorno alle 17,40 di ieri le tre piattaforme sono diventate inaccessibili in tutto il mondo. Poi poco prima dell’una di notte (ora italiana) hanno ripreso lentamente a funzionare. E alla fine sono arrivate le scuse anche di Mark Zuckerberg per il gigantesco blackout globale. “Scusate per l’interruzione, sappiamo quante persone fanno affidamento sui nostri servizi per restare connesse”
Ma cosa è successo? L’analisi degli esperti di Acronis, Service Provider di soluzioni di Cyber Protection di livello internazionale.
“Mentre non c’è alcuna conferma su ciò che ha causato l’incidente presso Facebook Inc, è possibile che il problema risieda nel protocollo BGP o DNS – che sono obiettivi popolari tra i criminali informatici. Ci sono vari potenziali attacchi contro l’infrastruttura DNS – dagli attacchi DDoS al rebinding DNS locale o all’hijacking di un DNS con il social engineering contro il registrar. Guardando le statistiche generali degli attacchi, sono molto meno popolari dei comuni attacchi malware e ransomware, ma possono essere estremamente devastanti se hanno successo in un attacco sofisticato. È come tirare il cavo elettrico della vostra sala server – l’intera impresa diventa improvvisamente buia”, ha commentato Candid Wuest, Acronis VP of Cyber Protection Research.
“La protezione contro gli attacchi DNS non è banale in quanto si presentano in molteplici sfaccettature. Richiede una forte autenticazione e patch per proteggere i propri servizi, una formazione contro gli attacchi social engineering, così come le classiche mitigazioni DDoS dai fornitori, come Cloudflare. Naturalmente, anche i problemi di configurazione dovrebbero essere evitati. A seconda di quale servizio viene attaccato – per esempio, se si tratta di un server di autenticazione centrale condiviso tra più brand, come in questo caso, allora una tale interruzione può portare a più brand che vanno offline. In verità, dobbiamo notare che la maggior parte delle interruzioni sono causate da azioni non maligne e sospettiamo che anche questo sia il caso” conclude Wuest.
Cosa ne pensa Topher Tebow, Acronis Cybersecurity analyst.
- Quanto sono popolari i cyberattacchi ai server DNS? Quanto deve essere sofisticato l’attaccante per eseguirli?
L’attacco Denial of service è il tipo più comune di attacco DNS, ed è facilmente realizzabile dagli aggressori, poiché si basa sul semplice sovraccarico di richieste di un server. Altri attacchi come l’hijacking DNS e l’avvelenamento DNS, dove i record di un dominio vengono sostituiti o spoofati da un aggressore, sono più difficili da portare a termine, ma possono essere realizzati da un aggressore familiare con le potenziali vulnerabilità del sistema DNS. - Avete visto la crescita di questi attacchi da quando la pandemia ha colpito?
Gli hacker informatici sono sempre alla ricerca di nuovi modi per raggiungere i loro obiettivi. Negli ultimi due anni, abbiamo visto alcuni attacchi DNS utilizzati come parte di uno schema di multi-estorsione quando le vittime di ransomware non pagano il riscatto. Questi attacchi non hanno visto l’aumento che hanno avuto altri tipi di attacchi, ma come per altri tipi di attacchi, sembrano accadere più frequentemente – con gli attacchi DDoS che guidano gli attacchi DNS.
- In caso di un attacco informatico, qual è la linea d’azione consigliata?
Come per qualsiasi attacco, è importante mantenere la calma e avere un piano di risposta in atto prima del tempo. Per un attacco DNS, questo piano includerà chi comunica cosa, come e quando – così come avere una soluzione DNS di backup pianificata che può essere rapidamente implementata, se non automaticamente commutata in caso di un attacco ai server DNS principali. La comunicazione diretta con il provider DNS sarà utile nella maggior parte dei casi. - Come fanno le aziende a proteggersi da questi attacchi?
Il monitoraggio DNS, le CDN e la ridondanza sono alcuni dei modi migliori per proteggersi dagli attacchi DNS. Niente garantisce completamente che un attacco non avrà successo, ma con un monitoraggio adeguato, DNS ridondanti e l’utilizzo di un CDN, il danno di un attacco può essere minimizzato. - Per le aziende come Facebook Inc, un attacco ai server DNS significa interruzione per tutti i suoi brand? o potrebbe essere evitato?
Per le aziende che ospitano più brand, l’effetto sulle filiali dipenderà davvero da come le aziende sono configurate. Se tutte usano gli stessi server DNS, e l’attacco è su quei server, allora i servizi andranno in down per tutte le aziende associate.