I principali malware del 2006 in Italia

Per gli esperti del settore, ricercatori di sicurezza informatica o semplici interessati all'argomento, l'anno appena concluso segna un cambio di rotta fondamentale nella storia delle infezioni informatiche in Italia. Fino a qualche anno fa, il mondo intero era paese quando si parlava di una possibile infezione o di qualche nuovo malicious software. Lo scopo era quello di infettare quanti più computer possibili, a volte lanciando sfide personali tra i vari team che si occupavano di sviluppare determinati software malevoli.

Abbiamo visto, caso più recente, la guerra che era stata iniziata tra i creatori dei worm Netsky, Bagle e Mydoom, portata avanti per mesi interi e che ha visto come terreno di guerra l'intera utenza di internet. Recita, in modo più o meno esatto, un detto: tra due elefanti che si scontrano, chi ne esce sconfitta è sempre l'erba. Per mesi i tre worm si sono contesi la top ten dei malware più diffusi nel 2005. Torniamo più indietro, vediamo nel 2003 e poi 2004 i casi clamorosi dei worm Blaster e Sasser, altro chiaro simbolo di un tentativo di infettare quanti più computer in tutto il mondo nel minor tempo possibile sfruttando due falle di sistema scoperte in Microsoft Windows.

Nel 2006 non ci sono stati casi particolarmente eclatanti. Infezioni dovute a worm, trojan, backdoor, ma niente di particolarmente grave a livello mondiale. Possiamo trovare una spiegazione se andiamo ad analizzare cosa è cambiato nel corso di questi anni: solo cambiando modo di osservare la situazione è possibile focalizzare la vera situazione di un anno, quello trascorso, che è risultato per l'Italia molto più dannoso di tanti anni passati precedentemente.

Bisogna innanzitutto focalizzarsi sullo scopo perseguito da chi scrive malware per computer. Se, negli anni passati, chi scriveva virus – si potevano ancora chiamare così – lo faceva al solo scopo di mostrare la propria bravura al mondo intero, negli ultimi cinque anni la rotta è sostanzialmente cambiata. La società si è informatizzata sempre più, l'utilizzo dei pc è entrato di forza in ogni azione quotidiana, negli uffici statali, nelle società, in aziende piccole, medie e grandi. Il buon esito di un'infezione di uno di questi pc potrebbe significare l'avere accesso a informazioni private, da numeri di carte di credito a sottrazione di dati sensibili, con conseguenze che possono spaziare da furti di identità a vero e proprio spionaggio industriale. In altre parole, soldi.

Ecco che cambia sostanzialmente lo scopo di scrivere un malware informatico. Non più infettare tutti i file eseguibili che si trovano all'interno di un pc al puro scopo di mostrare un messaggio all'avvio, o un worm che sposta le icone o – peggio – cancella determinati file, bensì backdoor per controllare da remoto un pc, trojan per rubare informazioni, spyware per controllare le abitudini di un utente.

Cambiano anche i target, gli obiettivi di una possibile infezione. Ne sono un esempio tutti i worm che si sono diffusi a livello mondiale in maniera rapida: hanno attirato l'attenzione di tutti i ricercatori di sicurezza, portando ad una rapida soluzione del problema con aggiornamenti per i software antivirus. Chiaro che, mirando un solo obiettivo molto più piccolo, le possibilità di infezione sono maggiori e le capacità di isolamento, analisi e rimozione sono molto più limitate.

Ecco che vanno diffondendosi in questi ultimi anni i cosiddetti attacchi mirati, attacchi ben studiati verso un preciso obiettivo, evitando di dare così nell'occhio e potendo lavorare molto più tranquillamente con più possibilità di successo. Ne è un esempio l'attacco subito ad inizio 2006 dalla società che gestisce la borsa russa - Russian Trading System (RTS) – paralizzata per alcune ore dopo che un malware sconosciuto era stato introdotto nella rete interna rischiando di causare seri danni economici.

La tecnica degli attacchi mirati, differentemente dallo “sparare alla cieca”, risulta essere sostanzialmente molto più proficua e pericolosa, proprio perché non è visibile all'intero mondo e, come tale, impossibile in alcune circostanze da monitorare continuamente se non da chi vive personalmente l'attacco.

Per nascondere ancor di più eventuali attacchi mirati, si è andato diffondendo l'utilizzo di rootkit, particolari malware che – interagendo a basso livello con il sistema operativo Windows, riescono a nascondere agli occhi degli utenti i malware che poi si occupano di rubare informazioni, o che permettono il controllo da remoto del pc, o qualunque altro sia il payload. Lo sviluppo dei rootkit per il sistema operativo Microsoft Windows è relativamente nuovo e molto più giovane rispetto a virus, trojan, worm o backdoor, sebbene il concetto su cui si basano è molto più antico e risale principalmente ai sistemi *nix.

Al momento la combinazione di rootkit e attacchi mirati risulta essere l'arma migliore, tanto da rendere spesso molto difficile l'individuazione di una possibile infezione. Un pericolo, quello dei rootkit, che ha scosso particolarmente tutte le società di antivirus, le quali sono corse ai ripari sviluppando nuove tecnologie per la rimozione sebbene, come ormai è storia vecchia nella guerra tra virus e antivirus, vengano spesso aggirate da nuovi rootkit studiati ad hoc per eluderne l'individuazione.

Quello che l'Italia ha potuto assaggiare nel 2006 è stata proprio questa combinazione, alcuni attacchi mirati che di fatto hanno infettato migliaia di pc senza che gli utenti se ne rendessero assolutamente conto. Il caso più eclatante, quello di Gromozon, ha messo in evidenza quali siano state le forti difficoltà da parte delle società di sicurezza a monitorare attacchi mirati e a contenerne lo sviluppo e la diffusione. Ma Gromozon non è il solo perché il 2006 ha riservato alcune sorprese particolarmente sgradite agli utenti italiani.