Una volta si chiamavano virus multi-partito o da Master Boot Record , e non facevano molto più che generare hype sconsiderato sui telegiornali di prima serata. Oggi le varie genìe di malware sono diventate strumento di business e crimine informatico, un’attività con gli indici costantemente in crescita che sfrutta anche, come nel caso del rootkit Mebroot , le vecchie tattiche da DOS-virus per fare incetta di dati finanziari e carte di credito .
In circolazione dal 2006, Mebroot (anche noto come “Sinowal” o “Torpig”) è stato capace di collezionare qualcosa come più di 270mila credenziali di account bancari online e circa 240mila numeri di carte di credito. Prendendo di mira le macchine basate su sistemi operativi Windows, rivela il FraudAction Research Lab di RSA, il malware ha permesso a una singola gang del cyber-crimine di agire indisturbata per anni con una costanza che solo raramente è stato possibile osservare in altre occasioni.
La caratteristica “vincente” del malware, basato come descritto dall’autore del tool anti-rootkit GMER su un codice “proof-of-concept” noto già dal 2005, è quella di essere totalmente invisibile al sistema ospite colpito dall’infezione: non solo Mebroot si inietta nel Master Boot Record (il settore zero dell’hard disk, eseguito prima ancora di qualsiasi sistema operativo Windows, Linux o quant’altro) per garantirsi l’avvio a ogni sessione, ma arriva al punto di non modificare in alcun modo i file o i settori della partizione su cui l’OS colpito risiede , copiando invece il corpo principale del proprio codice in settori e tracce del disco inutilizzati.
Fatto ciò, il rootkit modifica al volo le routine di basso livello di Windows direttamente in memoria per garantirsi la sostanzialmente completa invisibilità , sia all’utente che agli eventuali software antivirus e antimalware installati sulla macchina. Un sistema che, visti i risultati denunciati da RSA, si è rivelato estremamente efficace nel corso del tempo: certo, perché l’infezione riesca a penetrare sul PC ha comunque la necessità di sfruttare falle del browser o dei vari componenti della multimedialità sul web costantemente bucherellati da vulnerabilità assortite, ma una volta messo piede sull’MBR dell’hard disk il malware riesce ad agire sostanzialmente indisturbato e senza far sentire minimamente la propria presenza.
Per quanto la gang che tira le fila del network di Sinowal continui a rimanere sconosciuta, le prove sin qui raccolte dagli esperti hanno evidenziato un collegamento iniziale con il provider “criminale” Russian Business Network , apparentemente fuori dai giochi , almeno per ora, visto l’eccesso di attenzione mediatica avuto nel corso dei mesi e anni scorsi. Alte sono a tal proposito le possibilità che i cyber-criminali siano di nazionalità russa , considerando peraltro che RSA non ha individuato nemmeno una vittima di Mebroot riconducibile a questa nazione.
Il futuro di Mebroot, infine, appare tutto fuorché incerto: gli ingegneri del mal(war)e dietro il rootkit sono costantemente impegnati a produrre e diffondere “in the wild” nuove varianti della loro mefitica bit-creatura , e l’ultima revisione scovata e sottoposta al servizio di scansione multipla di Virustotal.com riesce al momento a passare inosservata a 20 antivirus su 35. A parziale consolazione del problema, il miglior antivirus gratuito al mondo riconosce correttamente la minaccia e dovrebbe essere in grado di intercettarla prima che questa metta radici sull’MBR dell’hard disk di sistema.
Alfonso Maruccia
Ti potrebbe interessare
3 nov 2008