L’apparente successo dei 2 cyber attacchi ha fatto sì che Isis sia interessata a nuove aggressioni DDoS

I cyber jihadisti, in particolare quelli ISIS, espandono il loro arsenale di armi informatiche. Gli hacker legati al Daesh continuano infatti ad avere scarse o medie capacità informatiche, che stanno cercando di supplire con nuovi tools trovati sul web. Soprattutto strumenti che permettano di lanciare attacchi DDoS. Lo ha rilevato Ken Wolf, analista senior presso Flashpoint, un’azienda specializzata nella cybersecurity. Tra dicembre del 2016 e gennaio del 2017, due distinti gruppi pro-Stato Islamico hanno sperimentato offensive DDoS, che hanno portato a un apparente successo, ricorda Wolf. Gli esiti hanno fatto sì che le formazioni si interessassero per portare avanti nuove e più potenti azioni su questo versante.

I primi 2 attacchi sono nati in un forum pro-Daesh e grazie allo UCC

Il tutto è nato quando in un forum Isis nel Deep Web si discusse per la prima volta sulla possibilità di lanciare attacchi DDoS. Cinque settimane dopo, il ringleader completò un tool chiamato “Caliphate Cannon”, che fu usato per un’offensiva informatica. A maggio del 2017, inoltre, si è appreso che è in sviluppo una nuova versione dello strumento. Allo stesso tempo, lo United Cyber Caliphate (UCC) – noto per una figuraccia l’anno scorso su un presunto furto di informazioni personali nei server USA – ha annunciato di aver condotto altri attacchi con questa tecnica. Senza, però, fornire dettagli. Si sa solo che lo UCC dello Stato Islamico ha usato un booter/stresser, un servizio di “DDoS-for-hire”. Parte dell’aggressione, inoltre, è stata vanificata grazie a un honeypot che ha deviato gli attacchi ad almeno due siti-bersaglio.

Chi sono le vittime e gli obiettivi della campagna DDoS di Isis

Per quanto riguardale vittime dei cyber attacchi Isis, nel primo caso (quello del forum) le vittime sono state sto governativi in Egitto, Giordania, Yemen e Iraq, che hanno subito aggressioni informatiche multiple. Nel secondo, soprattutto ONG, istituzioni e aziende private in Iraq. Non solo. mentre in questa ultima occasione sembra che le azioni siano state  casuali o impulsive, nella prima la situazione è diversa. I simpatizzanti Daesh, infatti, hanno discusso in anticipo sul forum quali strategie o priorità da adottare. E si è deciso di colpire obiettivi economici, militari, nonché network della sicurezza e dell’istruzione. Si pensava anche di attaccare le agenzie stampa e i satelliti, ma i partecipanti alla discussione hanno rilevato che erano obiettivi troppo difficili. In particolare a seguito delle risorse e delle capacità limitate della formazione hacker jihadista.

Come funzionano i tool DDoS dello Stato Islamico

In base a quanto analizzato, gli specialisti di cybersecurity di Flashpoint hanno appreso alcune lezioni sui cyber attacchi Isis. Il Caliphate Cannon è stato creato per condurre aggressioni HTTP di flooding, inviando una mole elevata di richieste HTTP GET alle vittime. A seguito del fatto che i “floods” sono volumetrici, questi devono essere lavorati da  una o più macchine con la capacità di generare grandi volumi di traffico. Oppure devono essere numerosi soggetti che partecipano all’offensiva. In questo caso dovrebbero essere veramente molti, in quanto in Africa e Medio Oriente le connessioni sono notoriamente lente. Quindi un numero medio di soggetti non sarebbero stati in grado di generare volume di traffico sufficiente. Di conseguenza, è più probabile – anche se non è certo – che sia giusta la prima ipotesi. Il tool, comunque, ha capacità offensiva limitata. Infatti non è in efficace contro sistemi che sono dotati di strategie di mitigazione DDoS.

Nel futuro si prevedono nuovi attacchi DDos di Isis, quali sono le ipotesi

In futuro, rilevato col quadro, è molto probabile che Isis tenti nuovamente cyber attacchi DDoS verso obiettivi nemici. A seguito delle limitate capacità, però, lo potrebbe fare in due modi. O ricorrendo a servizio di booter, cioè strumenti o capabilities in affitto. Ciò però costa e non è detto che le formazioni simpatizzanti del Daesh possano permetterselo. Oppure, cercherà di far crescere il gruppo di persone che genera traffico internet. In questo caso una delle tecniche migliori potrebbe essere duella di far scomparire ogni simbolo o riferimento allo Stato Islamico dal tool. Di conseguenza, lo strumento potrebbe essere diffuso con minori difficoltà in tutto il panorama hacker globale, che potrebbe usarlo magari anche contro obiettivi nazionali inconsapevolmente.

L’articolo integrale di Ken Wolf sull’uso dei DDoS da parte di Isis