Kirk Soluk, Threat Intelligence and Response Manager di Arbor Networks analizza le attività DDoS nel contesto del movimento pro-democrazia di Hong Kong. Nonostante si tratti di tematiche senza un apparente legame diretto, lo studio Arbor mette in evidenza come le minacce del mondo virtuale abbiano una reale correlazione con la vita dei cittadini.
Agli inizi di agosto avevamo esaminato i dati che dimostravano un’evidente correlazione tra i conflitti del mondo reale e quelli online, che l’ASERT tiene costantemente sotto controllo. Recenti tumulti politici rappresentano un’ulteriore situazione nella quale emergono chiari indicatori di correlazione quando si effettuano analisi delle serie temporali sui dati degli attacchi DDoS.
L’ultima ondata di proteste a favore della democrazia verificatasi a Hong Kong è iniziata il 22 settembre quando “…studenti di 25 scuole e università hanno avviato una settimana di boicottaggi per protestare contro la decisione di Pechino di procedere a elezioni indirette per la carica di capo del governo della Regione Amministrativa Speciale di Hong Kong”. Le proteste si sono rafforzate il 28 settembre quando un gruppo pro-democrazia più ampio, Occupy Central with Love and Peace, ha unito le forze con gli studenti. Il 1° ottobre la piazza ha preannunciato un aumento del livello di disobbedienza civile in caso di mancate dimissioni dell’attuale governatore di Hong Kong, Leung Chun-Ying. Da quel momento le tensioni sono salite con cariche della polizia, lancio di lacrimogeni, barricate, scontri, chiusura di edifici pubblici, blocco delle infrastrutture e forte ricorso ai social media per promuovere i punti di vista sia dei contestatori che dei supporter governativi. Esaminando i dati sulla visibilità degli attacchi Internet raccolti da Arbor ATLAS abbiamo identificato le attività DDoS nella regione APAC correlate con l’andamento della protesta di Hong Kong.
Gli attacchi DDoS sono stati rilevati tramite Arbor ATLAS, che riceve statistiche anonimizzate su traffico Internet ed eventi DDoS da oltre 290 ISP di tutto il mondo, equipaggiati con le soluzioni per la mitigazione DDoS fornite dalla società. Mentre numerosi eventi osservati sono sintomatici di attacchi avvenuti nel corso di questo periodo, è importante notare che non è possibile identificare con certezza le motivazioni di ogni singolo evento. Le attività DDoS osservate dirette contro proprietà online associabili a Hong Kong è più che raddoppiato tra settembre e ottobre passando da 1.688 a 3.565 attacchi discreti da un mese all’altro. Sebbene il numero di attacchi sia aumentato significativamente non vi è stata una differenza percepibile in termini di altri attributi come dimensioni o durata degli attacchi. Per esempio, i grafici seguenti mostrano la distribuzione percentuale degli attacchi DDoS rispetto a determinati intervalli di dimensioni nei mesi di settembre e ottobre, indicando anche il numero assoluto di eventi registrati:
Nel complesso la percentuale di attacchi DDoS compresi entro un certo intervallo di dimensioni è rimasta tutto sommato omogenea da settembre a ottobre, con la differenza più rilevante in una riduzione del 4% nel numero di attacchi DDoS nell’intervallo da 2gb/sec a 5gb/sec. L’analisi del numero e delle dimensioni degli attacchi DDoS relativi a Hong Kong può essere riassunta così: “ottobre ha visto ripetersi gli eventi di settembre, ma con molta più frequenza!”.
Spiccano tre grandi attacchi DDoS avvenuti il 14 ottobre (45,4 GB/s), il giorno 17 (38,3 GB/s) e il giorno 19 (45,6 GB/s). Anche il numero totale di attacchi DDoS osservati contro proprietà online associabili a Hong Kong ha registrato dei picchi nelle stesse giornate (rispettivamente 289, 419 e 427 attacchi). Dal momento che la stragrande maggioranza degli eventi DDoS riportati tramite ATLAS è anonimizzata, non è possibile determinare con certezza l’esatta correlazione tra questi specifici attacchi DDoS e le proteste in corso. Tuttavia sembra che questi attacchi siano coincisi con i report apparsi su Twitter e sul Wall Street Journal relativi ai tentativi dei supporter filogovernativi di impedire fisicamente all’editore pro-democrazia Apple Daily di distribuire i propri quotidiani. In particolare, il WSJ ha notato come Apple Daily “abbia dovuto affrontare contemporaneamente un cyberattacco che ha bloccato per intere ore il proprio sistema di posta elettronica”. Il 14 ottobre, Computerworld Hong Kong ha raccolto la dichiarazione di un dipendente di Next Media (la parent company di Apple Daily) secondo cui: “La rete non funzionava più, bloccando non solo Apple Daily ma tutte le pubblicazioni di Next Media”. In base alle statistiche regionali degli attacchi DDoS della prima settimana di novembre, sembra proprio che gli attacchi DDoS contro proprietà Internet associabili a Hong Kong stiano proseguendo.
Per quanto sia difficile stabilire con certezza relazioni causali e attribuzioni, è evidente come gli attacchi DDoS siano divenuti la normalità nel corso di agitazioni politiche ovunque nel mondo. In questo caso abbiamo osservato un incremento del 111% nel numero di attacchi DDoS diretti contro proprietà Internet associabili a Hong Kong analizzando i mesi immediatamente prima e dopo la richiesta di dimissioni – avanzata il 1′ ottobre – del governatore di Hong Kong. Inoltre, attacchi DDoS su vasta scala sono avvenuti in coincidenza di azioni condotte contro mezzi di informazione favorevoli al movimento di protesta.
