Conficker, è guerra aperta tra industria e malware writer

27 Febbraio 2009 · Archiviato in Approfondimenti, Sicurezza 

Approfondimenti - Una lente impietosa puntata sui temi caldi, retrospettive appassionate e dettagliate, riflessioni oltre le apparenze Conficker (anche noto come Downup, Downadup o Kido) è il worm che per primo, dopo l’epidemia di Sasser nel 2004, sia riuscito a sfruttare una vulnerabilità in un servizio remoto di Windows, e in virtù di questa sua insolita abilità il malware è divenuto a sua volta bersaglio di una larga parte dell’industria dell’IT che, capitanata da Microsoft, sta provando in questi giorni a disinnescare la bomba a orologeria di una botnet enorme ma dagli effetti pratici tutt’ora ignoti.

La guerra a Conficker viene attualmente condotta su più fronti. Una delle prime linee difensive è stata eretta da Kaspersky e OpenDNS, alleatesi per inibire la funzionalità di comunicazione remota tra il worm e i suoi autori. Come spiegato in precedenza, Conficker è in grado di generare ogni giorno un set random di 250 diversi nomi di dominio, rimanendo in attesa che i malware writer ne registrino uno e lo usino come host per distribuire una versione aggiornata del worm, un nuovo componente dell’infezione o un codice binario di qualsiasi altro genere.

Kaspersky, come altre società di sicurezza, ha decodificato l’algoritmo di creazione dei nomi di dominio ed è quindi in grado di sapere in anticipo quelli che autori di Conficker potrebbero decidere di registrare. Sfruttando tale conoscenza, OpenDNS ha messo in piedi il servizio Botnet Protection con cui bloccare la proliferazione del worm e allertare gli amministratori di rete nel caso in cui venisse individuata la sua presenza su una LAN. In pratica lo scudo di OpenDNS funziona proattivamente ma solo nell’inibire l’ulteriore aggravio dell’infezione o l’utilizzo della botnet per intenti malevoli.

Chi invece ha deciso di affrontare in maniera più diretta la minaccia è Microsoft, che non solo ha unito le forze con altri giganti dell’IT e società di sicurezza ma ha impiegato le sue proprie risorse finanziarie per far sentire il fiato sul collo ai cyber-criminali. Grazie a Microsoft, infatti, sulla loro testa pende ora una “taglia” di 250.000 dollari, somma che Redmond verserà a chiunque sarà in grado, in ogni paese del mondo in accordo con le leggi locali, di fornire informazioni utili all’arresto di chi fosse coinvolto nella creazione e nella diffusione del worm.

Conficker - infezione

Evidentemente Microsoft sente di avere una responsabilità non secondaria per quanto riguarda l’epidemia di Conficker, visto che proprio la vulnerabilità nel servizio Server dei sistemi operativi Windows ha rappresentato il primo varco attraverso cui il malware è passato infettando milioni di PC. Oltre a Microsoft, il team anti-Conficker comprende ICANN (Internet Corporation for Assigned Names and Numbers), AOL, VeriSign, Arbor Networks, F-Secure, Public Internet Registry e altri: in breve si tratta di una coalizione dall’enorme potenziale di contrasto, che ben esemplifica quanto il pericolo del worm venga preso sul serio.

Della coalizione fa parte anche Symantec, che a Conficker/Downadup sta dedicando ampio spazio con articoli di approfondimento sugli aspetti tecnologici più interessanti del worm (inclusi il meccanismo di propagazione attraverso le risorse di rete condivise e la protezione crittografica del trasferimento di file sulla botnet) e che sottolinea come il compito principale del team internazionale sia quello di tagliare fuori dai giochi lo stesso meccanismo di aggiornamento basato sui nomi di dominio casuali già preso di mira da Kaspersky e OpenDNS.

I milioni di sistemi infetti da W32.Downadup costituiscono un rischio per gli utenti di Internet così come per la sua infrastruttura - sostiene Symantec - Sotto il controllo dei malintenzionati, questi sistemi potrebbero essere impiegati per lanciare attacchi di denial-of-service distribuiti (DDoS) contro specifici utenti od organizzazioni, danneggiando la loro capacità di funzionare correttamente on-line. In aggiunta, i sistemi infetti potrebbero essere usati per distribuire ulteriori minacce, come l’invio di un nuovo worm che prenda di mira una vulnerabilità più recente e ancora ignota“.

Symantec ha inoltre messo in discussione i report che di recente hanno analizzato quella che è stata ribattezzata come una nuova variante del worm, in circolazione da un periodo di tempo non specificato ma dotata di payload aggiuntivi rispetto a quelli già noti. Questa nuova variante, “scoperta” da SRI International e ribattezzata Conficker B++ o Conficker.C, secondo Symantec non sarebbe altro che un sample delle due versioni già note del malware (Downadup.A e Downadup.B secondo la nomenclatura della società di sicurezza) in cui SRI ha individuato il già citato meccanismo di distribuzione basato sul P2P, un sistema molto più complicato da buttare giù rispetto a quello dei nomi di dominio preso di mira dall’industria.

Conficker - password codificate nel codice binario del worm

Sia come sia Conficker continua a rappresentare una sorta di mistero per via della sua apparente inattività: una botnet che, nell’ultima stima disponibile, conterebbe oltre 10 milioni di PC ma la cui finalità rimane tutt’ora ignota. Il worm si trova al cuore di un network malevolo che potrebbe essere impiegato per attacchi DDoS dalla forza spaventosa come suggerisce Symantec, per moltiplicare ulteriormente i già terrificanti numeri dello spam via e-mail o fungere da volano per un’infezione ancora più sofisticata e pericolosa, ma che tuttavia rimane silente, inoperativo.

Anche se rimane silente, la botnet di Conficker ha nondimeno già provocato danni a infrastrutture informatiche vitali, come è successo nel caso della marina francese ritrovatasi, da un giorno all’altro, con i caccia impossibilitati a decollare perché non potevano “scaricare i loro piani di volo” a causa dell’infezione di alcuni sistemi della base aerea Villacoublay.

Condividi questo articolo!
  • OKNOtizie
  • Facebook
  • Diggita
  • ZicZac
  • Wikio Italia
  • StumbleUpon
  • Technorati

Articoli correlati

Commenti

Lascia una risposta