[APM] Comunicazione su DDoS contro Lottomatica
Cari APM,
durante la scorsa settimana la rete GARR è stata usata, insieme a molte altre, per eseguire vari attacchi DDoS contro le reti assegnate all'azienda Lottomatica (93.101.0.0/20, 185.40.12.0/22, 194.187.172.0/22 - AS 35574).
Nello specifico si è trattato di una serie di attacchi di tipo SYN Flood, che sono consistiti nell'invio coordinato e ripetuto di grande quantità di pacchetti TCP SYN con indirizzi IP sorgenti falsificati, in gergo “spoofati”, appartenenti alle reti assegnate a Lottomatica, verso migliaia di host della rete GARR con servizi aperti su porte TCP note (80, 443, 22, etc.). Ognuno degli host ha poi risposto con altrettanti pacchetti SYN-ACK verso gli IP delle reti di Lottomatica, considerati IP
sorgenti dei SYN, con grave impatto sui servizi ivi esposti.
Anche se gli attacchi basati su questa tecnica non sono una novità, questo è stato sicuramente uno dei più grandi osservati da GARR per quantità di IP coinvolti, efficienza, ed effetti negativi anche sulla connettività degli utenti, oltre che sull’obbiettivo finale dell’attacco. Ci sono stati almeno 9 eventi ad alto impatto, identificabili anche visivamente sulle statistiche di traffico GARR (https://gins.garr.it), durante i quali varie sedi GARR sono rimaste praticamente isolate dal resto della rete a causa di firewall e di router di bordo andati in crisi. Ci sono elementi per dire con sicurezza che gli attacchi siano stati preceduti da un’accurata mappatura dei servizi TCP aperti sugli IP della rete GARR per aumentarne l'efficienza.
Riportiamo data, ora, e quantità di IP GARR coinvolti per ogni attacco:
1) 2019/10/31 10:20-11:50 54490
2) 2019/10/31 20:00-20:30 27454
3) 2019/10/31 23:30-24:00 27262
4) 2019/11/01 03:00-03:30 28507
5) 2019/11/01 06:00-06:30 30316
6) 2019/11/01 08:30-08:40 26926
7) 2019/11/01 09:10-09:25 26309
8) 2019/11/02 16:25-16:40 27407
9) 2019/11/02 18:50-19:10 25300
Da sabato 2 novembre, dopo le 18, visto il protrarsi degli attacchi e la difficoltà a contrastarli evidenziata da molti utenti della rete, il GARR-NOC ha applicato dei filtri sulla rete che bloccano tutti i tentativi di instaurare connessioni TCP provenienti da reti Lottomatica attraverso i collegamenti con gli upstream provider della rete GARR e contestualmente riconfigurando il routing per garantire all’utenza GARR la raggiungibilità dei servizi Lottomatica attraverso peering diretti
presso gli Internet Exchange Italiani.
Al momento stiamo lavorando allo sviluppo di un sistema di alerting, basato sui dati dei flussi e tarato su questa tipologia di attacchi, che fornisca in tempo reale le informazioni essenziali sulle reti coinvolte in modo da minimizzare i tempi di analisi e applicazione delle contromisure possibili sia a livello degli apparati utenti che, in caso di impatto generalizzato, a monte su quelli GARR.
Parallelamente, nell'ambito di una sperimentazione attualmente in corso per individuare soluzioni di DDoS mitigation, stiamo valutando insieme ai fornitori la loro capacità di estendere la mitigazione anche a questo tipo di attacchi.
Stiamo infine lavorando a stretto contatto con gli APM per collezionare esperienze e contromisure adottate al fine di costruire una base di conoscenze da condividere per prevenire e mitigare possibili attacchi futuri. A questo scopo stiamo elaborando i dati degli attacchi al fine di produrre un resoconto dettagliato sull’accaduto da condividere con i responsabili delle sedi coinvolte in modo da fornire altri speriamo utili elementi all’indagine.
Vi terremo aggiornati sugli sviluppi delle azioni intraprese dal GARR.
Grazie per la vostra collaborazione.
Lo Staff del CERT e del NOC del GARR.
--
------------------------------------------------
Alessandro Inzerilli
Resp NOc & Operations Team
GARR - www.garr.it
The Italian Academic and Research Network
------------------------------------------------
Istituto per la Microelettronica e Microsistemi del CNR - Webmaster Nicolò Parasole
