La minaccia del botnet indistruttibile è concreta ed è stata verificata su più di quattro milioni di PC contagiati. I ricercatori in ambito di sicurezza sono allarmati: TDL-4, nome che indica sia il Trojan che infetta le macchine che la somma dei computer compromessi dallo stesso, è una delle minacce più sofisticate presenti al giorno d’oggi, parola di Sergey Golovanov, ricercatore dei Kaspersky Labs. Golovanov ha dichiarato che:
[TDL-4] è praticamente indistruttibile.
Ma Golovanov non è solo:
Non che sia perfettamente imbattibile, ma in generale è praticamente indistruttibile. Fa un ottimo lavoro nel conservarsi.
Questo il parere di Joe Stewart, direttore della ricerca sui malware alla Dell SecureWorks ed esperto a livello internazionale di botnet. Per definire questa minaccia, gli esperti hanno giudicato la varietà di tratti che caratterizzano il botnet, rendendolo difficile da identificare, cancellare, sradicare dai computer infetti. Il TDL-4 infatti infetta il MBR (master boot record) del PC con un rootkit, ovvero un malware che si nasconde nel sistema operativo per sovvertirlo. Il master boot record è il primo settore, ovvero sectore 0, dell’hard drive, dove viene memorizzato il codice per attaccare il sistema operativo dopo che i BIOS del computer hanno avviato i controlli.
TDL-4 installa il rootkit sul MBR, quindi risulta invisibile sia al sistema operativo, sia agli anti-malware. Questa però non è ancora l’arma più potente del botnet: la combinazione di crittografia avanzata e l’utilizzo di un network P2P pubblico per le istruzioni richieste dal malware tramite server command-and-control (C&C) lo rendono indistruttibile. Chi ha generato TDL-4 ha creato un proprio algoritmo di crittografia e il botnet utilizza i nomi a dominio dei server C&C come chiavi di crittografia, oltre ad utilizzare le reti Kad P2P come uno dei due canali per la comunicazione tra PC infetti e server C&C.
Il network pubblico serve per essere sicuri che il botnet non venga abbattuto.
[Via ComputerWorld | Foto Flickr]
L’ex leader di un gruppo di hacker anarchici, chiamato Electronik Tribulation Army, è stato condannato a nove anni e due mesi di carcere per aver installato malware sui computer di un ospedale del Texas, come riportato da Wired. Jesse William McGraw, conosciuto come “GhostExodus,” dovrà pagare $31.881 di danni e passerà 3 anni in libertà vigilata al termine della pena detentiva.
McGraw, di 26 anni, veniva tenuto d’occhio dall’FBI sin dal 2009, anno in cui postò un video in cui si infiltrava negli uffici di un edificio. Il video, che trovate in apertura, mostra il ragazzo mentre installa RxBot su un computer desktop. Secondo le indagini successive, il gruppo Electronik Tribulation Army stava creando un botnet per attaccare gruppi rivali, tra i quali Anonymous.
McGraw non si è limitato ad un solo video, ma ne ha pubblicato un secondo in cui mostra la collezione di strumenti personali per l’infiltraggio (tra i quali delle finte credenziali FBI). Entrambi i video sonos tati registrati al Northern Central Medical Plaza di Dallas. L’hacker è stato accusato di aver immesso malware in una dozzina di computer dell’ospedale, oltre ad un accesso remoto LogMeIn al sistema HVAC della struttura.
Se la pena vi sembra troppo grave, gli agenti FBI l’hanno considerata commisurata ai fatti, tenendo a mente che un eventuale malfunzionamento dell’unità HVAC avrebbe colpito la ventilazione e l’aria condizionata, mettendo a rischio la salute dei pazienti gravi in estate e comportando il deterioramento di alcuni farmaci.
Dopo la notizia di qualche giorno fa diffusa da un impiegato di Panda Security che vedeva un HTC Magic distribuito da Vodafone in Spagna con preinstallata la botnet Mariposa, un altro caso analogo è emerso sempre nella stessa nazione e sempre dallo stesso operatore.
Il secondo episodio è stato riscontrato da un impiegato della S21Sec, che avrebbe eseguito l’ordine del telefono più o meno nello stesso periodo del primo caso, il che lascia pensare comunque a un numero ristretto di modelli con questo tipo di “bonus”.
Vodafone ha comunque fatto sapere di non aver riscontrato il problema all’esterno della Spagna, per cui qui in Italia dovremmo poter dormire sonni tranquilli.
Via | TheRegister
Curiosa e allo stesso tempo abbastanza inquietante la notizia che emerge da un post sul blog dello staff di Panda Security, che ci porta a sconfinare un po’ dai soliti limiti del nostro blog rubando il lavoro a Mobileblog. Ma dato che ultimamente le botnet sembrano avere intenzione sempre più di conquistare e distruggere il mondo, eccoci qui.
Il tutto parte dal momento in cui un membro dello staff riceve da Vodafone un HTC Magic, ottenuto grazie a una delle offerte speciali a cui gli operatori anche in Italia ci hanno abituato. La ragazza scarta il pacco, prende il cellulare (con Android installato) e lo attacca al PC via USB: il Cloud Antivirus si attiva e segnala i file autorun.inf e autorun.exe come malevoli.
Una rapida analisi del contenuto della memoria del telefono, più una piccola ricerca sulla segnalazione dell’antivirus permette alla donna e al suo collega autore del post di scovare la botnet Mariposa, infilata direttamente nel cellulare inviato da Vodafone e pronta a fare danni sul PC al quale questo è connesso.
Davvero inquietante lo scenario che emerge da quanto raccontato dai due, soprattutto considerando la chiusura del post nel quale Pedro Bustamante afferma di aver trovato in altri modelli di HTC Magic inviati da Vodafone altro codice malevolo come Confiker e Lineage. La morale della favola è che ormai bisogna stare attenti a tutto, anche quando si torna a casa ansiosi di provare il proprio nuovo telefono collegandolo al PC.
Via | Techmeme
La mania scatenata da Chuck Norris e i suoi “fact” ha anche dal punto di vista informatico una sua conseguenza: una botnet dedicata all’attore americano scoperta da Jan Vykopal del dipartimento di sicurezza informatica della Masaryk University di Brno, in Repubblica Ceca.
Il codice sarebbe stato sviluppato da un italiano che avrebbe anche deciso di rendere pubblica la dedica includendo nel codice sorgente la scritta “in nome di Chuck Norris”: nonostante possa suonare alquanto divertente si tratta di un pericolo assolutamente da non sottovalutare, visto che la botnet prende di mira modem e router ADSL grazie alla poca propensione di molti nel cambiare le password di accesso, dando al malintenzionato di turno praticamente completo accesso alla configurazione della connessione di chi è infetto.
La prima cosa da fare dunque se non avete mai cambiato la password del vostro router consiste nell’inserirne una personalizzata, visto che attualmente la botnet Chuck Norris si sarebbe già propagata in giro per la rete tra America, Europa e Asia.
Via | Goodgearguide.com.au
Vi ricordate il presunto attacco informatico condotto dalla Corea del Nord contro la Corea del Sud e gli Stati Uniti all’inizio di questo mese? Sembra che il luogo di provenienza degli attacchi sia in realtà un server localizzato in Gran Bretagna, secondo quanto scoperto da alcuni esperti di sicurezza in Vietnam.
Bkis, azienda che si occupa di sicurezza informatica, è riuscita ad ottenere il controllo di due serve e analizzare i log, stimando un numero di 167.000 PC colpiti dall’attacco distribuiti in 74 paesi.
Si tratta di un vero e proprio attentato informatico della cui natura ancora si sta indagando. Si è trattato, comunque, di attacchi mirati contro siti commerciali e siti governativi, che hanno causato anche interruzioni momentanee. E’ una conferma ulteriore di quanto sia diventato importante, per noi, il Web, e di quanto la sicurezza informatica sia diventata un aspetto fondamentale della nostra vita quotidiana.
Via | News.zdnet.com
Foto | Flickr
Recentemente la BBC, per il suo programma televisivo “Click”, ha acquisito il controllo di una Botnet per mostrare ai suoi ascoltatori di cosa si tratti e quale potenza possa avere uno strumento tale nelle mani dei malintenzionati. La consulenza tecnica è stata fornita dalla società Prevx. L’obiettivo dell’analisi è stato quello di utilizzare la Botnet per concentrare un attacco Ddos verso un sito ospitato dalla Prevx e di inondare di spam una coppia di caselle mail appositamente create e monitorate per l’occasione. L’acquisizione della botnet è stata effettuata attraverso delle chat.
Nonostante non sia stato toccato alcun dato sui PC infetti utilizzati dalla botnet, e gli ingnari utenti possessori dei PC siano stati avvertiti a posteriori della condizione del loro sistema attraverso una modifica del wallpaper, questa azione ha destati molti dubbi tra gli addetti ai lavori e in generale nel mondo online, perchè la BBC si è resa complice di un reato sfruttando la manomissione dei PC attraverso la botnet. Queste azioni, benchè compiute per degli intenti divulgativi, rischiano di scivolare velocemente dall’altra parte della ragione perchè la modifica del PC degli utenti può portare a conseguenze imprevedibili, così come fa notare anche Alex Eckelberry, CEO di Sunbelt Software, che in un suo commento sulla mailing list Funsec dice “gli esperti di sicurezza hanno a che fare spesso con le botnet per ragioni di analisi, a l’invio di spam al di fuori della spambot sarebbe considerato un crimine, e lo spegnimento della stessa non è una buona idea perchè non si sa quale danno accidentale si potrebbe creare, altre al fatto di non sapere cosa risiede sul sistema utente che potrebbe far ripartire il processo”.
Non è noto quanto sia stato speso, ma una citazione della Prevx elenca una range di prezzi tra i 350$ e i 400$ ogni 1000 PC Inglesi o Americani. La BBC ha anche asserito attraverso Twitter di aver consultato uno studio legale in merito, ma un altro studio legale ha invece ribattuto dicendo che a prescindere dalle buone intenzione, l’illecito dell’accesso non autorizzato è l’unica cosa che conta. Voi cosa direste se il vostro PC venisse infettato e utilizzato da una botnet per un programma televisivo di divulgazione?
Via | eWeek.com
Foto | Flickr.com
Lo spam è una realtà davvero noiosa per gli utenti, e purtroppo dobbiamo confermare che a febbraio nulla è cambiato sul fronte delle email spazzatura. Anzi, il mese appena passato ha visto un picco delle email spam che hanno raggiunto il 79.5% del traffico mondiale, per assestarsi su una media del 73.3%.
Il picco è dovuto alla ricorrenza di San Valentino, durante la quale è cresciuto esponenzialmente lo spam dovuto a contenuti sessuali o legati alla festa. In particolare, la rete conosciuta come Cutwail è stata responsabile del 6.5% delle email totali. Una tendenza in recessione è il numero di email spazzatura che contiene un link ad una query su un motore di ricerca. Questo soprattutto grazie agli stessi motori che, aggiornando i propri algoritmi, hanno eliminato i redirect provenienti dallo spam.
In ogni caso questa percentuale di spam (73.3%) è inferiore al 74.6% fatto segnare nel mese di gennaio: peccato, però, che contemporaneamente le botnet stanno aumentando il loro volume di spam, soprattutto da quando è stata chiusa la grande rete McColo. Così, nonostante il calo che ha portato ad un abbassamento delle percentuali di spam mondiale dall’80% al 68%, ora queste cifre sono ritornare a crescere. Le principali reti identificate sono Cutwail, seguita da Donbot e Mega-D, responsabile di quasi il 40% del traffico mondiale di spam.
Via | Arstechnica.com
Quanto tempo ci vuole per infettare un computer e renderlo parte di una botnet, ovvero una rete di PC zombie? Molto poco, secondo un articolo del New York Times.
Interrogato sull’argomento, un esperto di sicurezza della Microsoft ha dichiarato che il tempo medio necessario per una infezione è di cinque minuti. Un tempo estremamente piccolo che basta per rendere un innocuo PC un punto di partenza per inviare software maligno e email di spam.
Le botnet sono le tecniche più diffuse utilizzate dagli spammer e dai cybercriminali per sfruttare la potenza di tanti PC grazie al controllo tramite un piccolo software. Contemporaneamente, le botnet sono difficili da stanare, perchè si evolvono rapidamente ed usano tecniche efficaci per cambiare gli indirizzi Internet. Cosa si può fare per impedire tutto ciò? Le regole sono sempre le solite, semplici: installare un antivirus, un firewall, e aggiornare il proprio sistema operativo con le patch di sicurezza.
Via | Blogs.zdnet.com
Foto | Flickr
Le stime dell’FBI parlano di oltre 1 milione i computer utilizzati da hacker all’insaputa del vero proprietario. Veri e propri “Zombie”, in gergo tecnico Bot. Una tecnica quasi perfetta visto che risulta molto difficile risalire al vero autore degli attacchi, come spiega questo vecchio post a proposito dell’attività di Shadow Server Foundation.
“La maggior parte degli utenti non sanno neanche che il loro computer è stato attaccato - specifica Shawn Henry, vice assistente direttore dell’FBI - diventando parte attiva in un ampio numero di attività criminali” . Il meccanismo sembra essere molto semplice: una scansione della rete permette di individuare i sistemi che risultano più vulnerabili e tramite backdoor dichiarate, e non, si riesce ad infettarli con software che permettono l’utilizzo da remoto.
downloadblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, chi siamo
© 2004-2011 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Downloadblog.it contattare la concessionaria esclusiva Populis Engage.
