Le prime segnalazioni, poi le conferme: negli ultimi tre giorni è divenuto palese l’attacco che sconosciuti hanno rivolto agli utenti di Seeweb , apprezzato hosting provider italiano, attacco con cui molti siti ospitati da Seeweb si sono trasformati in diffusori di malware . Qualcosa del genere era accaduto anche ad altri operatori del settore proprio di recente. Ciò che appare chiaro parlando proprio con Seeweb, è che siamo dinanzi ad una tipologia di attacco nuova e, fino a questo momento, parzialmente inspiegabile .
“Ciò che colpisce – spiega a Punto Informatico il responsabile di Seeweb, Antonio Baldassarra – è che non siamo di fronte a qualcuno che ha sfruttato qualche exploit dei sistemi dei server attaccati, che girano più o meno metà su Linux e metà su Windows, ma a qualcuno che ha avuto accesso via ftp con la password, avendo cioè la password in mano”. Che cosa ha fatto chi è penetrato su quei siti in parte già lo aveva spiegato ieri PC al sicuro : su quei siti è stato depositato un iframe che reindirizza gli utenti su un server sparatrojan, in particolare Rootkit.DialCall, “con l’obiettivo criminoso – conferma Baldassarra a PI – di catturare dati dai computer degli utenti”.
Non si è quindi dinanzi ad un attacco di qualche script-kiddie o defacer intenzionato a penetrare su un sito e modificarne le pagine o i contenuti – tanto più che all’analisi degli esperti di Seeweb sui siti compromessi null’altro è stato alterato – ma dinanzi a qualcuno che ha ottenuto la password di accesso ftp e l’ha usata per distribuire malware.
Seeweb ha terminato una estensiva opera di ricognizione e analisi dei server, un security assessment dal quale è emerso che le macchine che ospitavano i circa cento siti compromessi non soffrono di bug noti, non sono soggetti ad exploit “neppure zero-day a livello di rumors”, sottolinea Baldassarra. Non solo: una analisi sugli applicativi usati dagli utenti sui siti colpiti ha indicato che non danno possibilità di compromissione, né sono stati rilevati attacchi cross-site, mass defacement eccetera. “Tutta l’attenzione – spiega quindi Baldassarra – si focalizza sul capire come le password siano state catturate”.
Da questo punto di vista, complice un tentativo di attacco registrato ad agosto, moltissimi sono gli utenti che su richiesta di Seeweb avevano già provveduto a modificare le password, che non vengono peraltro archiviate in chiaro sui server accessibili dall’esterno. E sono stati attaccati siti di utenti che avevano da tempo cambiato le password.
“Tutto questo – sottolinea Baldassarra – ci indica chiaramente una sorta di differenziale tecnologico nelle due fasi dell’attacco. Il soggetto numero uno, tecnologia numero uno, è quello che viene a conoscenza della password. Il soggetto numero due, invece, compie un attacco triviale, sfruttando quella password, ossia avendo in mano informazioni poco pregiate, come l’accesso ftp, e utilizzandole per ottenere informazioni più pregiate, come i dati degli utenti”. La sensazione di Seeweb, insomma, è che chi ha sottratto le password non sia chi le ha poi sfruttate . Una sensazione che, se confermata, potrebbe dare un altro spessore, persino più inquietante, a quanto accaduto.
Si tratta, evidentemente, di tutto meno che di una certezza. “L’accesso ftp – spiega Seeweb a PI – viene fatto naturalmente da server compromessi, tipicamente in Russia o in altri luoghi in cui indagare è difficile. Il nostro livello di attenzione sulla questione è naturalmente estremo, per impedire la diffusione degli attacchi”. Seeweb è corsa ai ripari modificando ulteriormente l’infrastruttura di gestione e modifica delle password.
“L’ipotesi – continua Baldassarra – è che ci possa essere uno sniffing delle password al di fuori della nostra rete”. Ed è per questo che si sta conducendo una ricerca di un elemento che accomuni i clienti colpiti . “Ad esempio – spiega il dirigente Seeweb – per scoprire se gli utenti coinvolti si connettano ad Internet tramite un dato operatore, o un client ftp specifico. Per capire tutto questo si sta facendo il data mining dei log di tutti i server, non tanto per capire cosa fa chi attacca, che è già stato determinato, ma proprio per individuare un minimo comune denominatore tra questo genere di utenti”.
Siamo dinanzi ad una organizzazione criminale che si serve di cracker sniffapassword per i propri scopi? Questa una delle ipotesi più inquietanti dietro ad un attacco che, viste le dimensioni dei soggetti dell’hosting italiano che ne sono colpiti, rischia di diventare epidemico. E tra le aziende colpite c’è dialogo? “Naturalmente – conclude Baldassarra – stiamo ragionando insieme su come procedere”. La speranza è arrivare all’elemento dirimente, al “modo” in cui l’attacco viene portato e la password sottratta, nel più breve tempo possibile.