Klaatu, barada, nikto, Conficker!

10 Aprile 2009 · Archiviato in Approfondimenti, Sicurezza 

Approfondimenti - Una lente impietosa puntata sui temi caldi, retrospettive appassionate e dettagliate, riflessioni oltre le apparenze A più di una settimana di distanza dal primo di aprile, il giorno dell’ultimatum a Internet in cui secondo la stampa il worm Conficker/Downup/Downadup/Kido avrebbe potuto distruggere la rete, le infrastrutture, l’umanità civilizzata e il pianeta intero le cose vanno più o meno come al solito: Internet rimane un posto pericoloso ma non è esplosa come una supernova, e i bit scorrono veloci da una parte all’altra del pianeta. La vera novità è che la botnet costruita da uno dei malware più complessi di sempre dimostra finalmente quale sia il suo vero scopo.

Almeno sino alla notte scorsa, il network malevolo di Conficker è rimasto silente, quasi beffardo nei confronti di quanti avevano predetto l’ennesima apocalisse digitale senza precedenti che, puntualmente, non è avvenuta: l’ipotesi di un disastro inconcepibile diffusa dal New York Times, la presunta “Google Oscura” come potente strumento di ricerca di informazioni sensibili sui sistemi infetti non hanno retto alla prova della realtà e sono evaporate come in genere fa l’hype il minuto successivo alla deadline immaginaria.

Internet non è esplosa, ma l’isterismo di massa alimentato dai rapporti privi di fondamento ha provocato una vera e propria epidemia informativa anche tra le società di sicurezza, quelle che in teoria dovrebbero fornire software utile a proteggere in concreto i dispositivi informatici e che invece si sono prestate allo squallido gioco della caccia al worm cattivo per alimentare ulteriormente il chiacchiericcio senza senso. Nel gorgo di overload informativo ci sono capitati quasi tutti, Symantec, F-Secure, Trend Micro, ovviamente Microsoft, ognuno impegnato a ripetere per l’ennesima volta cosa fosse Conficker, cosa sarebbe successo il primo di aprile, come individuare e rimuovere il worm e via di questo passo.

Mentre il diluvio informativo procedeva, il worm continuava indisturbato a infettare network sensibili come quello del parlamento inglese, che dopo la rete della marina francese dovrebbe essere uno degli incidenti di più alto profilo provocati dal malware. La stampa, però, quasi non se ne è accorta impegnata com’era a dispensare consigli, spargere allarmi e a ricondurre a un singolo agente la complessa galassia di mali e storture che affligge il network mondiale. Conficker ha fatto rumore, così tanto che qualcuno ha pensato bene di approfittare della sua popolarità per spingere, sui motori di ricerca, la diffusione di rogue software sotto forma di falsi anti-virus e tool di sicurezza.

Il terreno era stato ben preparato per la venuta del nuovo anticristo digitale, e allo scoccare della mezzanotte del primo aprile i cuori si sono fermati e i router hanno sussultato, Conficker aveva cominciato ad attivare le sue malefiche routine per spargere le piaghe dell’apocalisse informatica sul mondo interconnesso. Come puntualmente accade in questi casi, però, dell’attesa apocalisse non si è visto assolutamente nulla e le sole emozioni forti sono state quelle provocate dalle risate di chi ha letto il post del pesce d’aprile scritto da Brian Krebs sul Washington Post.

Il primo di aprile qualcosa è effettivamente avvenuto, perché come già previsto da tempo l’ultima variante del worm nota fino ad allora, Conficker.C/W32.Downadup.C, ha inizializzato per la prima volta il nuovo payload per la comunicazione remota con i creatori, pescando un subset di 500 nomi di dominio dall’elenco dei 50.000 indirizzi generati quotidianamente e provando a contattarli per verificare l’eventuale disponibilità di un upgrade al codice malevolo.

Al di là dei patetici effetti dell’isterismo di massa, le caratteristiche di Conficker/Downadup.C mettono chiaramente in mostra l’evoluzione dall’infezione nel corso del tempo. Symantec ha realizzato una tabella riassuntiva essenziale ma significativa, in cui Conficker si trasforma da worm di rete dotato di routine di distribuzione molto aggressive a una backdoor/botnet che ha poi eliminato completamente tali routine, perfezionando nel contempo il meccanismo di upgrade attraverso i nomi di dominio e il protocollo di P2P decentralizzato già presente nella versione precedente del malware.

Conficker - evoluzione

Con Conficker.C gli untori hanno irrobustito il network malevolo, dotandolo di protezioni contro i software di sicurezza e interferendo con il lavoro di prevenzione dei partecipanti al “Conficker Cabal”. Il sistema di comunicazione P2P ha tra l’altro cominciato a funzionare molto prima dell’1 di aprile, ma l’assenza di eventi significativi in conseguenza di questo fatto non è stata sufficiente a mitigare gli allarmi immotivati sparsi in giro per la rete, anzi li ha in qualche modo alimentati.

Sgombrato il campo dall’isterismo dei giorni scorsi, quel che rimane è la lotta contro la reale minaccia posta da Conficker e dai suoi autori: secondo le informazioni fornite da Symantec, dietro il worm più hot del momento ci sarebbero i distributori del già citato rogue software, tool come l’infame XP AntiVirus che la prima variante di Conficker aveva già provato a depositare sulle macchine infette senza molto successo. Grazie al lavoro di ricercatori come Dan Kamisky, esattamente la stessa persona coinvolta nella scoperta e nella cura del bug al sistema DNS, si è poi scoperto che il malware lascia un’impronta facilmente identificabile su ogni sistema infetto.

L’attivazione del payload del primo aprile ha permesso inoltre una misurazione precisa del numero di bot effettivi presenti all’interno della rete, che scende dalle decine di milioni stimati in precedenza ai 3,5 milioni di questi giorni. Le cifre iniziali includevano tutti gli indirizzi IP su cui era riconoscibile l’attività del worm, mentre le ultime rappresenterebbero quanto della botnet è rimasto in piedi dopo le disinfezioni e altri eventi imprevedibili per la gang di cyber-criminali.

I ricercatori sono attualmente in grado di stilare mappe particolareggiate delle zone del mondo maggiormente colpite dall’infezione, e persino di fornire metodi di diagnosi basati sul web dall’efficacia immediata. L’eccesso di allarmismo che ha contraddistinto queste settimane, a ogni modo, non è svanito senza conseguenze: Trend Micro segnala che un nuovo worm, tale Neeris, ha moltiplicato il numero di PC infetti nello stesso momento dell’attivazione del payload di Conficker.C, e utilizzando persino lo stesso metodo di propagazione basato sullo sfruttamento della infame vulnerabilità MS08-067, ancora aperta dopo sei mesi dalla distribuzione del fix.

Conficker - mappa delle infezioni in Europa

Mentre il mondo intero teneva gli occhi puntati su Conficker, un nuovo malware è riuscito a farsi strada on-line sgattaiolando attraverso la stessa porta abusata dal primo. Se si tratti di un’infezione in grado di lasciare la stessa impronta di Conficker è ancora presto per dirlo, quel che è certo è che le grottesche semplificazioni di questi giorni, su un argomento delicato come la sicurezza informatica, non aiutano ad affrontare e risolvere problemi dalla complessità sempre crescente.

L’ultimo sviluppo della vicenda Conficker si è avuto in queste ore, quando la botnet ha distribuito il tanto temuto aggiornamento del malware attraverso la rete di P2P decentralizzato messa in piedi con la versione precedente. La nuova variante di Conficker, che Kaspersky ha classificato come Net-Worm.Win32.Kido.js, presenta differenze marcate rispetto a Conficker.C, e le analisi parlano di una sorta di regressione del malware che da bot senza capacità infettive si trasforma ancora una volta in un worm in grado di diffondersi attraverso la vulnerabilità MS08-067.

Un’altra differenza notabile è l’implementazione di un timer programmato per scattare il prossimo 3 maggio, giorno in cui il worm bloccherà la sua routine di propagazione. Ma la novità più importante è che questa volta Conficker fa molto di più che aggiornare se stesso e riprendere a infettare sistemi, scaricando due file eseguibili che a un’occhiata ravvicinata si rivelano essere un rogue software, Spyware Protect 2009, e un nuovo worm noto come Waledac o Iksmas.

Quando è comparso per la prima volta nel gennaio del 2009 - scrive l’analista di Kaspersky Aleks - molti esperti IT hanno notato le similitudini tra Kido e Iksmas. L’epidemia di Kido si è riflessa in una epidemia via e-mail causata da Iksmas e caratterizzata più o meno delle stesse dimensioni. Ma sino a oggi, non c’era stata alcuna chiara evidenza di un collegamento tra i due worm“.

Spyware Protect 2009

Quella evidenza è comparsa la notte scorsa, dice Aleks, e ora i due worm fanno parte della stessa “gigantesca botnet” progettata per condurre campagne di spam via posta elettronica. A questo punto Conficker potrebbe anche attaccare le organizzazioni che si stanno spendendo per combatterne la minaccia come il Conficker Working Group. Nelle scorse ore il sito web del CWG è stato temporaneamente irraggiungibile, ma secondo l’Internet Storm Center del SANS Institute la causa non è l’attacco del worm bensì un problema all’infrastruttura di rete.

Condividi questo articolo!
  • OKNOtizie
  • Facebook
  • Diggita
  • ZicZac
  • Wikio Italia
  • StumbleUpon
  • Technorati

Articoli correlati

Commenti

2 Risposte a “Klaatu, barada, nikto, Conficker!”

  1. Engelium il 10 Aprile 2009 20:20

    Sempre più curioso di sapere quale sarà questo maledetto “primo vagito” che ci risucchierà tutti nelle tenebre :P

    Comincio a pensare che alla fine non abbia proprio nessuno scopo e continuerà a giocare sempre con le stesse regole…


    Browser Opera 9.64 Opera 9.64 sull'O.S. Windows Vista Windows Vista
    Opera/9.64 (Windows NT 6.0; U; en) Presto/2.1.1
  2. Sir Arthur, King of Ghouls'n Ghosts il 10 Aprile 2009 23:55

    Eh beh, oramai con l’entrata in gioco dell’altro worm, Waledac, lo scopo è bello che certo: spam, spam e ancora spam.

    Almeno così si fa piazza pulita di tutte le speculazioni e le teorie complottiste alimentate dalla sovraesposizione mediatica del “virus”. Cavolo, persino quei balordi del TG1 ne hanno parlato, e questo è il segno che si è passato il limite….


    Browser Firefox 2.0.0.16 Firefox 2.0.0.16 sull'O.S. Windows XP Windows XP
    Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16

Lascia una risposta