La più grande botnet è in affitto

[c.m.g]

mercoledì 31 ottobre 2007

Roma - Il far west telematico di Zar Putin genera l'ennesimo prodigio nel campo della criminalità applicata alle nuove tecnologie. Non bastasse aver lasciato le mani libere al cartello di Russian Business Network, il cyber-crimine made in Russia pare disponga del più importante iper-mercato di PC infetti, in cui il malintenzionato di turno entra, decide il numero di sistemi da utilizzare per il suo attacco e paga pochi centesimi a PC. Il tutto certificato da relativa fattura con il log delle attività dei PC gestiti illegalmente da remoto.

Non è una nuova frontiera, l'affitto di botnet di PC zombificati, ma lo è sicuramente il fatto che cracker e virus writer non sembrino più temere conseguenze di certe azioni e le svolgano quindi alla luce del sole, o quasi. Tutto questo emerge da uno studio di alcuni esperti di sicurezza, rimasti anonimi "per - spiegano - non mettere a rischio il lavoro di intelligence condotto online". Durante le loro indagini, gli investigatori si sono imbattuti in loads.cc, sito web apparentemente innocuo e "pulito", con ogni probabilità ospitato in territorio russo, senza virus o malware, ma che ad una occhiata più approfondita si rivela essere un vero e proprio centro di controllo di infezioni personalizzate.

Scovato durante analisi forensi condotte su alcuni server ripieni di malware, il sito è descritto dai ricercatori come l'ennesimo esempio di cracking come forma di servizio, in grado di affiancare i "prodotti" attualmente esistenti e viatico ideale per far entrare nel profittevole mondo del cyber-crimine i malintenzionati tecnologicamente meno capaci.


Dietro loads.cc opera una enorme botnet, composta da svariati milioni di PC infetti alla totale mercé dei criminali che ne detengono il controllo. Tali criminali sono in grado di fornire in tempo reale lo stato della rete, il numero dei PC zombie al suo interno e la loro localizzazione. Informazioni che vengono prontamente girate agli interessati: il criminale non-tecnologico paga 20 centesimi di dollari a bot o per ogni sistema infettato con successo, sceglie l'estensione della sotto-rete da avere a sua disposizione e infine il tipo di attacco personalizzato che intende spargere in rete.

È possibile pagare in anticipo una certa cifra per un numero di bot prefissato, dicono i ricercatori, così come è consentito scegliere un particolare range di indirizzi IP, il paese attaccato o altre caratteristiche. Tutti dati che verranno regolarmente comunicati al cliente, a mo' di bolletta telefonica con allegato un elenco puntiglioso di tutte le connessioni e le attività di rete registrate.

L'obiettivo dipende dai desideri del criminale-cliente, e può variare dall'inviare spam di pillole blu e penis enlargement, all'installazione di un trojan-keylogger con cui carpire dati sensibili e informazioni finanziarie riservate sui sistemi infetti, per giungere fino alla diffusione di nuovi tipi di malware.

Il modello di business di cui si fa promotore loads.cc crea secondo gli esperti un numero notevole di preoccupazioni. In primo luogo, la botnet è disponibile a tutti e ad un costo "popolare", aprendo la strada al cyber-crimine massificato e all'infezione multipla di dozzine di malware su uno stesso PC-zombie. In seconda istanza è facile adoperare il servizio come una sorta di campo di battaglia virtuale tra malware writer, che hanno a disposizione uno strumento in più per farsi la guerra, fare affari e provocare danni economici e morali non indifferenti agli utenti.

La iper-botnet di loads.cc rende poi ancora più inquietante l'allarme lanciato questo gennaio dal "padrino" di Internet e del protocollo TCP/IP Vinton Cerf: il tecnologo aveva stimato che il 25% di tutti i PC connessi fosse parte di una botnet, avvertendo infine sul rischio di collasso dell'intera infrastruttura di rete mondiale. Rischio già sfiorato con l'attacco ai root server dei sistemi DNS, e che casi come quello di rendono ancora più verosimile.

Alfonso Maruccia


Punto Informatico