Le varianti di Conficker continuano a mietere vittime in tutto il mondo: nonostante le operazioni di bonifica l’ epidemia prosegue ad un ritmo di 50mila PC infettati ogni giorno.
Paesi come USA, India e Brasile sono stati eletti terreni di caccia preferiti per il nutrimento della botnet i cui creatori, secondo Eugene Kaspersky, sono da ricercarsi quasi sicuramente in Ucraina: “Si tratta di programmatori di alto livello in grado di confezionare un codice molto efficace – spiega il CEO di Kaspersky Labs – utilizzano sistemi crittografici con astuzia, non commettono errori. Sono decisamente molto professionali in ciò che fanno”.
Secondo Kaspersky Conficker utilizza un algoritmo che genera un elenco di domini le cui dimensioni crescono giorno dopo giorno: una volta rilevata la presenza online il worm procede con l’aggiornamento. In pratica le prime macchine infettate dovevano solo aspettare e scaricare: “Eravamo piuttosto intimoriti all’inizio di aprile – ha confessato Kaspersky – perché non avevamo la minima idea di cosa potesse accadere”.
In risposta all’ingresso in Rete di Conficker si era creata una joint venture tra specialisti della sicurezza, come Kaspersky e Symantec, ed enti nazionali statunitensi quali l’ICANN e il Federal Bureau of Investigation per contrastarne la vertiginosa crescita. Intervenendo alla conferenza AusCERT 2009 Paul Twomey, CEO dell’ Internet Corporation for Assigned Names and Numbers , ha motivato la partecipazione dell’organizzazione non profit spiegando che nelle mire del worm c’era finito anche il Domain Name Service Layer .
Durante lo stesso evento sono intervenuti anche due rappresentanti del provider russo RTComm , spiegando che i malintenzionati che manovrano i fili delle varie botnet avrebbero stretto una sorta di alleanza : “Alcuni sono dei cracker il cui unico proposito è radunare quanti più bot possibile mentre c’è chi si dedica solamente alle frodi online. È come un’industria divisa in vari comparti”.
Un mese e mezzo dopo il Pesce d’aprile Conficker conta nei suoi ranghi circa sei milioni di desktop cui la falla MS08-067 non è stata riparata. Un esercito di zombie in grado di lanciare attacchi potenzialmente disastrosi: furti di dati sensibili o devastanti DDoS sono solo alcune fra le modalità di un possibile attacco di cui, per ora, non si ha notizia.
Trattandosi di una vera e propria epidemia virale alcuni tecnici di Symantec hanno realizzato, sul modello di quanto fatto da Google Maps per il virus H1N1, una mappa a colori per illustrare quanto e dove la botnet fosse radicata: nel continente europeo l’Italia è il paese più colpito, seguito subito dopo dalla Gran Bretagna mentre la Cina si trova a dover fronteggiare problemi analoghi. Nei giorni scorsi DNSpod, registrar cinese, ha rilevato dei movimenti sospetti i cui effetti hanno diminuito di molto la velocità di connessione in diverse province dell’ex impero celeste.
Fonti interne a China Telecom hanno reso noto che l’origine del problema fosse un errore del DNS di Baofeng.com e secondo i media locali i responsabili del guasto appariranno presto davanti ad un giudice.
Giorgio Pontico