Microsoft mette in ginocchio 4 milioni di utenti di no-ip.com

Nel corso della mattinata di lunedì (pomeriggio in Italia) milioni di utenti che si affidano ai servizi di dynamic DNS forniti da no-ip.com sono stati vittima di un disservizio a seguito di una dura azione repressiva condotta da Microsoft allo scopo di mettere fuori gioco una botnet di malware che hanno infettato quasi 7,5 milioni di sistemi PC Windows sparsi per il globo.

L'azienda di Redmond è infatti riuscita ad ottenere l'autorizzazione da parte del tribunale del Nevada al sequestro di 23 domini appartenenti alla società Vitalwerks - proprietaria di no-ip.com - realtà nota per la fornitura di servizi di dynamic DNS. Si tratta di servizi utilizzati per associare nomi di dominio a indirizzi IP numerici non statici e che, quindi, possono variare frequentemente.

Questo tipo di servizi sono per lo più usati da utenti comuni che desiderano avere un nome di dominio che punti sempre verso il loro computer domestico, a prescindere da quante volte il fornitore del servizio di connettività vari l'indirizzo IP assegnato a quel computer (o a quella connessione).

I servizi di dynamic DNS tornano però utili anche a quella categoria di cybercriminali che basano le proprie malefatte sulla diffusione di strumenti RAT (Remote Access Tool, malware che garantisce l'accesso remoto alle risorse del sistema infettato), in maniera tale da assicurarsi che i sistemi bersaglio costituenti una botnet siano sempre in grado di comunicare con i server usati per il loro controllo.

Microsoft ha spiegato al tribunale l'intento della propria azione e cioè identificare, filtrare e reinstradare il traffico associato a due famiglie di malware, NJrat e NJw0rm (conosciuti anche con il nome di Baldabindi e Jenxcus), che hanno sfruttato oltre 18400 host name tramite no-ip.com abusando quindi dei suoi servizi. Il tribunale ha così concesso, lo scorso 26 giugno, l'autorità a Microsoft di poter prendere temporaneamente il controllo su 23 domini di no-ip.com, praticamente tutti i domini che vengono usati per i servizi gratuiti forniti dalla compagnia.

Microsoft ha inoltre affermato davanti alla corte che nonostante i numerosi resoconti rilasciati da varie realtà di sicurezza nel corso dell'anno passato relativi ad un grande volume di attività sospetta proveniente da servizi di no-ip.com, la compagnia ha "evitato di adottare misure correttive per prevenire l'abuso e mantenere i suoi domini liberi da attività malevole".

L'azienda di Redmond ha inoltre dettagliato l'operazione in un intervento sul proprio blog, nel quale si legge inoltre:

"Con gli autori di malware che continuano ad inquinare la rete, i proprietari di domini devono agire responsabilmente monitorando e difendendo contro il cybercrime sulla loro infrastruttura. Se i provider di DDNS come No-ip esercitano attenzione e seguono le best practice del settore, sarà più difficile per i cybercriminali operare anonimamente e mietere vittime online. Nel frattempo continueremo ad adottare misure proattive per proteggere i nostri clienti e far si che i malintenzionati siano responsabili delle loro azioni".

L'autorizzazione del tribunale ha quindi dato a Microsoft la possibilità di controllare completamente le configurazioni dei domini DDNS di no-ip.com, la quale si è vista sottrarre legalmente parte della sua infrastruttura DNS.

In realtà ciò che è successo ha avuto ripercussioni ben più pesanti, come sottolinea la stessa no-ip.com. Natalie Gougen, marketing manager per l'azienda dei servizi DDNS, ha affermato: "Hanno dichiarato di aver bloccato solamente i nomi di dominio con attività malevole, per reinstradare correttamente il traffico verso gli utenti, ma ciò non è avvenuto e non sono stati in grado di gestire i nostri volumi di traffico. Molti utenti che usano legittimamente i nostri servizi hanno subito disservizi per tutto il giorno".

Secondo Natalie Gougen, però, Microsoft non ha mai mostrato le proprie preoccupazioni a no-ip.com fino alle 7 del mattino del 30 giugno quando il CEO della compagnia si è visto recapitare presso la propria abitazone l'ordinanza del tribunale che assegnava a Microsoft il temporaneo diritto di vita e di morte sui domini di no-ip.com. "Lavoriamo con le autorità costantemente e il nostro dipartimento di abuse risponde alle richieste nel giro di 24 ore. E' abbastanza triste che Microsoft sia voluta ricorrere a misure così estreme" ha commentato Goguen.

No-ip.com e Microsoft non concordano inoltre sul numero degli host name pericolosi: mentre, come detto, l'azienda di Redmond ne ha enumerati oltre 18 mila, per no-ip.com gli host effettivamente dannosi erano poco più di 2000. "Per inseguire 2000 host malevoli, Microsoft ha messo in ginocchio 4 milioni di utenti" ha dichiarato Goguen.

Goguen ha affermato che l'azienda sta considerando la possibilità di ricorrere alle vie legali per rispondere al disservizio e alle accuse di Microsoft: "Stiamo confrontandoci con i legali su questo, ma ora siamo impegnati per fare tutto ciò che è in nostro potere per risolvere il problema e abbiamo bisogno che i nostri utenti capiscano tutto questo". No-ip.com ha rilasciato una dichiarazione ufficiale in questo post del proprio blog.

E' la decima volta che Microsoft si rivolge alla giustizia per ottenere il permesso di intraprendere questo tipo di azioni volte allo smantellamento di botnet e, in genere, per combattere episodi di cybercrime. Dmitri Alperovitch, cofondatore della società di sicurezza CrowdStrike, ha però osservato che molte delle precedenti azioni di Microsoft erano indirizzate ai fornitori di servizi di hosting cosiddetto "bulletproof", ovvero che garantiscono agli utenti sospetti di restare online nonostante le pressioni delle società di sicurezza e delle autorità, ovviamente dietro costoso pagamento. Ma, secondo Alperovitch non è il caso di no-ip.com: "Sono sempre stati molto reattivi alle richieste dei ricercatori di sicurezza e alle autorità, non li conosidero un host bullet-proof o abuse-proof".

Tuttavia nel corso della giornata di ieri Microsoft ha ammesso di aver commesso un errore tecnico nella sua azione: "Per via di un errore tecnico alcuni clienti i cui dispositivi non erano infettati dai malware hanno subito un disservizio temporaneo. Ci dispiace per qualsiasi inconveniente capitato a questi clienti" ha scritto in un'email David Finn, responsabile della Digital Crimes Unit di Microsoft. L'azienda di Redmond afferma poi che tutti i servizi sono stati ripristinati alle ore 6, Pacific Time, della mattina di martedì. Secondo Goguen, però, con scarso risultato: "Pare che stiano cercando di adottare misure correttive, ma i DNS sono complicati e pare che loro non siano molto bravi".

Microsoft ha comunque depositato un'azione legale contro no-ip.com e contro due individui, Mohamed Benabdellah e Naser Al Mutairi, che sarebbero responsabili della creazione e diffusione di NJrat e NJw0rm. Questo tipo di operazioni sono di norma composte da procedimenti legali e azioni tecniche a sorpresa, che riescono a sradicare o a danneggiare significativamente le botnet. Si tratta di iniziative il cui scopo dovrebbe essere quello di salvaguardare la sicurezza della rete, dato che questa forma di cybercrime è piuttosto difficile da combattere, ma che possono spingersi pericolosamente vicine al confine della legalità, come è accaduto nel caso di questa vicenda dove milioni di utenti legittimi sono rimasti vittima di "fuoco amico".