A cura di Kirk Soluk, Threat Intelligence and Response Manager di Arbor Networks
Agli inizi di agosto avevamo esaminato i dati che dimostravano un’evidente correlazione tra i conflitti del mondo reale e quelli online, che l’ASERT tiene costantemente sotto controllo. Recenti tumulti politici rappresentano un’ulteriore situazione nella quale emergono chiari indicatori di correlazione quando si effettuano analisi delle serie temporali sui dati degli attacchi DDoS.
L’ultima ondata di proteste a favore della democrazia verificatasi a Hong Kong è iniziata il 22 settembre quando “…studenti di 25 scuole e università hanno avviato una settimana di boicottaggi per protestare contro la decisione di Pechino di procedere a elezioni indirette per la carica di capo del governo della Regione Amministrativa Speciale di Hong Kong“. Le proteste si sono rafforzate il 28 settembre quando un gruppo pro-democrazia più ampio, Occupy Central with Love and Peace, ha unito le forze con gli studenti. Il 1′ ottobre la piazza ha preannunciato un aumento del livello di disobbedienza civile in caso di mancate dimissioni dell’attuale governatore di Hong Kong, Leung Chun-Ying. Da quel momento le tensioni sono salite con cariche della polizia, lancio di lacrimogeni, barricate, scontri, chiusura di edifici pubblici, blocco delle infrastrutture e forte ricorso ai social media per promuovere i punti di vista sia dei contestatori che dei supporter governativi. Esaminando i dati sulla visibilità degli attacchi Internet raccolti da Arbor ATLAS abbiamo identificato le attività DDoS nella regione APAC correlate con l’andamento della protesta di Hong Kong.
L’iniziativa Arbor ATLAS
Le informazioni DDoS fornite nel resto di questo report sono attinte dall’iniziativa Arbor ATLAS, che riceve statistiche anonimizzate su traffico Internet ed eventi DDoS da oltre 290 ISP di tutto il mondo equipaggiati con le soluzioni per la mitigazione DDoS fornite da Arbor. Mentre numerosi eventi osservati sono sintomatici di attacchi avvenuti nel corso di questo periodo, è importante notare che non è possibile identificare con certezza le motivazioni di ogni singolo evento.
Hong Kong come bersaglio di attacchi DDoS (settembre-ottobre)
Numero di attacchi DDoS osservati
Il grafico seguente illustra come il numero di attacchi DDoS osservati diretti contro proprietà online associabili a Hong Kong sia più che raddoppiato tra settembre e ottobre passando da 1.688 a 3.565 attacchi discreti da un mese all’altro.
Sebbene il numero di attacchi DDoS sia aumentato significativamente da settembre a ottobre, non vi è stata una differenza percepibile in termini di altri attributi come dimensioni o durata degli attacchi. Per esempio, i grafici seguenti mostrano la distribuzione percentuale degli attacchi DDoS rispetto a determinati intervalli di dimensioni nei mesi di settembre e ottobre, indicando anche il numero assoluto di eventi registrati:
Nel complesso la percentuale di attacchi DDoS compresi entro un certo intervallo di dimensioni è rimasta tutto sommato omogenea da settembre a ottobre con la differenza più rilevante in una riduzione del 4% nel numero di attacchi DDoS nell’intervallo da 2gb/sec a 5gb/sec.
L’analisi del numero e delle dimensioni degli attacchi DDoS relativi a Hong Kong esposti nelle Figure 1 e 2 può essere riassunta così: “ottobre ha visto ripetersi gli eventi di settembre, ma con molta più frequenza!”.
Dimensioni degli attacchi e avvenimenti di cronaca correlati
La Figura 3 illustra gli attacchi DDoS più grandi di ogni giornata in termini di bandwidth tra quelli che hanno interessato proprietà online associabili a Hong Kong nel mese di ottobre:
Spiccano tre grandi attacchi DDoS avvenuti il 14 ottobre (45,4gb/sec), il giorno 17 (38,3gb/sec) e il giorno 19 (45,6gb/sec). Anche il numero totale di attacchi DDoS osservati contro proprietà online associabili a Hong Kong ha registrato dei picchi nelle stesse giornate (rispettivamente 289, 419 e 427 attacchi). Dal momento che la stragrande maggioranza degli eventi DDoS riportati tramite ATLAS è anonimizzata, non è possibile determinare con certezza l’esatta correlazione tra questi specifici attacchi DDoS e le proteste in corso. Tuttavia sembra che questi attacchi siano coincisi con i report apparsi su Twitter e sul Wall Street Journal relativi ai tentativi dei supporter filogovernativi di impedire fisicamente all’editore pro-democrazia Apple Daily di distribuire i propri quotidiani. In particolare, il WSJ ha notato come Apple Daily “abbia dovuto affrontare contemporaneamente un cyberattacco che ha bloccato per intere ore il proprio sistema di posta elettronica”. Il 14 ottobre, Computerworld Hong Kong ha raccolto la dichiarazione di un dipendente di Next Media (la parent company di Apple Daily) secondo cui: “La rete non funzionava più, bloccando non solo Apple Daily ma tutte le pubblicazioni di Next Media”.
E poi?
In base alle statistiche regionali degli attacchi DDoS della prima settimana di novembre, sembra proprio che gli attacchi DDoS contro proprietà Internet associabili a Hong Kong stiano proseguendo. Il seguente grafico illustra le dimensioni di picco degli attacchi DDoS nell’intervallo dei 30gb/sec in quattro giorni consecutivi (3 – 6 novembre):
In conclusione
Per quanto sia difficile stabilire con certezza relazioni causali e attribuzioni, è evidente come gli attacchi DDoS siano divenuti la normalità nel corso di agitazioni politiche ovunque nel mondo. In questo caso abbiamo osservato un incremento del 111% nel numero di attacchi DDoS diretti contro proprietà Internet associabili a Hong Kong analizzando i mesi immediatamente prima e dopo la richiesta di dimissioni – avanzata il 1′ ottobre – del governatore di Hong Kong. Inoltre, attacchi DDoS su vasta scala sono avvenuti in coincidenza di azioni condotte contro mezzi di informazione favorevoli al movimento di protesta.