Atlanta (USA) – Dopo gli attacchi di febbraio, balzati alle cronache per aver messo fuori servizio alcuni dei più noti siti Web commerciali, i tool di distributed denial of service (DDoS) tornano a far parlare di sé e a preoccupare gli esperti di sicurezza.
A lanciare il nuovo allarme è Internet Security Systems (ISS), azienda a cui va il merito di aver scovato Trinity v3, un nuovo programma DDoS che seguendo le orme dei suoi predecessori, fra i quali Trinoo e TFN2K, è in grado di pilotare degli attacchi attraverso una rete di agenti software attivi su di un certo numero di host compromessi.
Ma la scoperta più agghiacciante è il fatto che questo nuovo tool sia interamente controllabile attraverso IRC, fatto questo che potrebbe garantire agli autori degli attacchi un livello di anonimato ben maggiore che in passato. Il nome Trinity ricorda anche l’eroina di TheMatrix, espertissima nel far perdere le proprie tracce.
Trinity v3, di cui al momento si conosce solo una versione Linux, installa il proprio agente, un file binario di nome idle.so, all’interno della directory /usr/lib/. Una volta lanciato, il programma si incarica di connettersi ad un certo numero di server IRC (porta 6667) , crearsi un nickname pseudo casuale ed entrare in un certo canale utilizzando una password conosciuta. Una volta dentro (nel caso provato da ISS il nome del canale era #b3eblebr0x) l’agente si porrà in stato di attesa: a questo punto il creatore del canale, od un qualsiasi altro utente a conoscenza del nome e della password per entrarvi, potrà inviare comandi diretti agli agenti e innescare un attacco “flood” verso uno o più indirizzi IP.
I comandi previsti da Trinity v3, circa una decina, prevedono praticamente ogni tipo di attacco DDoS (UDP, SYN, ACK, fragmented, ecc.) e possono essere impartiti a tutti gli agenti contemporaneamente (attraverso l’invio del comando a tutto il canale) oppure solo ad uno di essi, magari solo per fare un semplice ping del server remoto.
Un altro binario che Trinity installa sulle macchine Linux è uucico, da non confondere con il vero “uucico” che si trova generalmente sotto /usr/sbin, in pratica una backdoor in ascolto sulla porta 33270 che consente all’attacker di guadagnare i diritti di utente root.
Secondo ISS ammonterebbero già a 400 i sistemi su cui è stato scoperto un agente di Trinity, un numero che sembra destinato ad aumentare di giorno in giorno. Pillola rossa o pillola blu?