Alfonso Maruccia

Guerra di malware a colpi di attacchi DDoS

La guerra tra i virus writer si infiamma grazie al pacchetto crea-malware MPack e alle varianti recenti dello Storm Worm, la cui diffusione ha impensierito i ricercatori mesi or sono

Roma - Sono aggressivi ed estremamente efficaci nel riprodursi e nel conquistare, pezzo a pezzo, il territorio virtuale dei PC connessi alla Rete senza firewall personale e un ottimo antivirus come difesa. Per di più, proprio come i "picciotti" della tradizione mafiosa, i malware moderni combattono senza risparmiarsi per la distruzione dell'avversario, nella fattispecie una "famiglia" di schifezza-ware diversa ma altrettanto determinata nel trasformare i terminali di rete in PC zombi ad uso spam/cyberwar.

Ultimi protagonisti della "turf war" del Bronx (cit. The Warriors) riproposta nel cyberspazio sono il cavallo di troia Trojan.Srizbi (così classificato da Symantec), scoperto alcuni giorni fa, e il malware comunemente definito come Storm Worm. Entrambi i codici malevoli sono progettati per diffondersi in rete e assoggettare al proprio volere le macchine compromesse, creando botnet alla mercè delle gang responsabili della loro creazione.

Srizbi è l'ultimo parto del famigerato toolkit commerciale russo MPack, che sta facendo parlare di sé come una sorta di vaso di Pandora dei malware, con la passione delle vulnerabilità dei browser meno avanzati come Internet Explorer 6: è lo stesso toolkit, per intenderci, considerato responsabile della grave breccia nella sicurezza della rete italiana sperimentata giorni fa.
La particolarità del malware risiede nel fatto che tra i suoi payload ci sono anche delle routine pensate per disinstallare, qualora fossero presenti sulla macchina, i componenti dello Storm Worm, eliminando così un pericoloso avversario per la predominanza dei malware in rete. Gli autori dello Storm Worm hanno però dimostrato di essere a conoscenza della cosa, contrattaccando con massicci attacchi di DDoS delle ultime varianti del malware contro i server responsabili della distribuzione di Srizbi.

Purtroppo per gli utenti, questi ultimi esemplari dello Storm Worm vengono individuati da non più del 25% degli antivirus in circolazione, secondo quanto stabilito da una stima recente del SANS Institute che ha testato 30 diversi software di sicurezza.

Sebbene i codici malevoli più diffusi siano ancora "cari" vecchi worm come NetSky, Bagle e compagnia, la recente operazione BOT ROAST dimostra come i network automatizzati di PC zombie - come quelli creati e gestiti dai malware rivali Srizbi e Storm Worm - siano una tendenza in crescita e dalle conseguenze potenzialmente devastanti per l'intera rete mondiale.

Alfonso Maruccia
8 Commenti alla Notizia Guerra di malware a colpi di attacchi DDoS
Ordina
  • La comunità internet è stata frastornata, recentemente, dalle ripercussioni di un enorme 'distributed denial of service attack' (DDoS). DDoS opera da eserciti di computer zombie che inondano i bersagli con traffico senza senso. È come se vi precipitaste a casa per raccogliere una lettera importante, per scoprire che la vostra casa è completamente piena di posta indesiderata. Gli attacchi DDoS non sono nuovi – ma quest'ultimo ha alcune caratteristiche davvero interessanti. Siti anche importanti, come Twitter, sono stati colpiti. In secondo luogo, i dispositivi zombie lanciando l'attacco hanno colpito dei prodotti innocui come le telecamere. In terzo luogo, l'attacco ha avuto successo perché ha preso di mira Dyn (una società che gestisce uno dei bit chiave dell'infrastruttura di rete). Dyn ha la responsabilità di dire al tuo browser dove connettersi. È come l'ufficio postale dopo un bombardamento: tutte le case sono ancora lì, ma le lettere non possono arrivare. Infine, l'attacco era notevole per la sua mancanza di raffinatezza – sono sospettati i cosiddetti 'script kiddies'. Questo moniker viene utilizzato per descrivere gli hacker di bassa abilità, che utilizzano strumenti disponibili pubblicamente.

    È difficile proteggersi da questo tipo di attacco, ma un semplice passaggio sarebbe quello di mettere al bando i produttori che utilizzano le password di default sui dispositivi che producono.
    non+autenticato
  • Ma questi root kit quali su quali o.s. funzionano?
    Occhiolino
    non+autenticato
  • contenuto non disponibile
  • Sostanzialmente tutti, incluso sVista.

    Comunque nè l'MPack nè lo "Storm Worm", che è nella fattispecie un trojan che funziona con protocolli di P2P per imbastire le botnet di PC zombi, che io sappia installano moduli rootkit sul sistema. Almeno non nelle varianti (in quest'ultimo caso) su cui mi sono informato a suo tempo....
  • - Scritto da: Alfonso Maruccia
    > Sostanzialmente tutti, incluso sVista

    ??? Guarda che funzionano solo su Windows.

    > Comunque nè l'MPack nè lo "Storm Worm", che è
    > nella fattispecie un trojan che funziona con
    > protocolli di P2P per imbastire le botnet di PC
    > zombi, che io sappia installano moduli rootkit
    > sul sistema

    E invece sbagli.

    Lo Storm Worm USA rootkit. Mpack invece non c'entra nulla e non ha senso paragonarlo a Storm Worm: il primo e' un malware per Windows, il secondo e' un framework che va installato su server e che crea exploit per installare malware "da remoto" su Windows.

    Mpack serve per installare Storm Worm o qualsiasi altro malware (o volendo, anche non-malware): crea delle pagine con exploit che andranno a colpire i browser che le visitano, eseguendo del codice che permettera' di "installare" da remoto. Una macchina che abbia Mpack non e', di per se', "infetta" (a meno che questo non sia stato messo su da qualcuno che ha avuto accesso indebitamente alla macchina): il 99% dei server che hanno su Mpack sono appartenenti direttamente ai criminali. Anche per quanto riguarda l'attacco ai server Aruba/Hosting Solutions, Mpack non era stato messo direttamente su quei server: semplicemente i server Aruba e Hosting Solutions erano stati bucati ed in tutti i siti era stato inserito un iframe che rimandava ai server con su Mpack.
    non+autenticato
  • - Scritto da: TNT
    > - Scritto da: Alfonso Maruccia
    > > Sostanzialmente tutti, incluso sVista
    >
    > ??? Guarda che funzionano solo su Windows.
    >
    > > Comunque nè l'MPack nè lo "Storm Worm", che è
    > > nella fattispecie un trojan che funziona con
    > > protocolli di P2P per imbastire le botnet di PC
    > > zombi, che io sappia installano moduli rootkit
    > > sul sistema
    >
    > E invece sbagli.
    >
    > Lo Storm Worm USA rootkit. Mpack invece non
    > c'entra nulla e non ha senso paragonarlo a Storm
    > Worm: il primo e' un malware per Windows, il
    > secondo e' un framework che va installato su
    > server e che crea exploit per installare malware
    > "da remoto" su
    > Windows.

    Ops (come si capisce da quello che ho scritto dopo) ho inverito l'ordine: ovviamente intendo dire che Storm Worm e' il malware per Windows e Mpack il framework.
    non+autenticato
  • Dall'articolo si legge che il rischio è molto alto, ma dal sito della symantec (linkato dallo stesso articolo) si legge:
    Trojan.SrizbiRisk
    Level 1: Very Low

    Rischio molto basso.
    non+autenticato
  • Rischio delle botnet in generale, intendevo. E il caso dello "Storm Worm", che mesi fa ha infettato mezza Europa raggiungendo una diffusione ragguardevole (nessuna epidemia comunque), stà lì a dimostrarlo....