Kelihos, la botnet “reincarnatasi” in una nuova rete malevola dopo l’azione di contrasto messa in piedi da Microsoft, è stata abbattuta di nuovo: un consorzio di aziende di sicurezza e hi-tech hanno preso il controllo della seconda rete, inibendo ai “pupari” di sfruttare il nuovo meccanismo di comunicazione peer-to-peer per trasmettere ordini e nuovi upgrade al malware.
Il team anti-botnet questa volta include Kaspersky Lab, Crowdstrike Intelligence Team, Dell Secureworks e the Honeynet Project: la nuova Kelihos condivide alcuni tratti con la precedente, rappresentando nei fatti un aggiornamento che è stato capace di incrementare notevolmente il numero di bot infetti rispetto ai 40mila originali.
Oltre alle solite attività di invio spam, furto di dati sensibili e lancio di attacchi DDoS, le nuove funzionalità della seconda Kelihos comprendono un sistema per il furto di credenziali Bitcoin e la già citata comunicazione tramite peer, molto più difficile da contrastare rispetto ai tradizionali server di comando&controllo centralizzati.
Nondimeno Kaspersy e gli altri sono riusciti nell’intento attraverso un operazione di “sinkholing”, vale a dire intrufolandosi nella botnet con un “pari” speciale capace di chiamare a se tutti i bot esistenti. Il risultato, dice Kaspersky, è stata la “cattura” di 116mila PC-zombie allo stesso sinkhole e il fallimento del tentativo – che pure c’è stato – degli sviluppatori di Kelihos di riprendersi il controllo della loro creatura.
E mentre la security enterprise moscovita medita su come gestire i bot intrappolati nella “sua” rete, una nuova botnet viene presa di mira con un piano per la sua “disinfestazione” dall’intero tramite attacco di SQL injection : è la rete di Sality, codice malevolo evolutosi da semplice file virus a malware definitivo con funzionalità, appunto, da botnet.
Alfonso Maruccia