Questa storia appartiene alla categoria Internet e domain e al dossier Sicurezza e stabilità

Chiudere una botnet

La botnet ZeroAccess ha causato milioni di danni prima di essere chiusa nel dicembre 2013.

Testo: Serge Droz, pubblicato il 16.04.2015

Il primo rapporto relativo ad un nuovo malware soprannominato ZeroAccess è comparso il 13 luglio 2011. Facendo uso della sofisticata tecnologia rootkit, la motivazione primaria alla base di ZeroAccess era stata quella di far soldi mediante la pubblicità pay per click, mostrandosi tuttavia capace anche di insidiare bitcoin, installando una backdoor su sistemi infetti ed altro ancora.

ZeroAccess è stata una delle botnet più remunerative di tutti i tempi, avendo infettato oltre due milioni di computer a livello mondiale e causato danni per un ammontare di 2.7 milioni di dollari al mese. Anche in Svizzera essa ha causato danni per migliaia di franchi. La botnet veniva distribuita mediante un'infrastruttura denominata blackhole exploit kit che serviva quale strumento atto a distribuire diverse specie di malware oltre a ZeroAccess, tra cui segnatamente Zeus e Citadel, entrambe utilizzate nell'attacco alle banche. Il kit poteva essere noleggiato al canone settimanale di 700 dollari.

Una telefonata urgente da CYCO

Nel dicembre 2013 SWITCH ricevette una telefonata urgente da CYCO, l'Unità di Coordinamento della Criminalità Informatica per la Svizzera. Sotto il coordinamento di Europol e dell'FBI, venne allora compiuto uno sforzo globale allo scopo di sottrarre al modulo fraudolento fondato sui click di ZeroAccess i sistemi critici e a SWITCH venne chiesto di partecipare all'operazione. Fu un grande successo: la frode legata ai click venne immediatamente fermata e il giorno seguente la botnet ricevette un ordine straordinario: "Bandiera Bianca". Da allora è stata rilevata solo una minima attività e la botnet ZeroAccess è stata ridotta, dai due milioni di bot che aveva al momento del suo apogeo, ai soli 50.000 a livello globale. Inoltre, nel dicembre 2013, da parte delle autorità russe venne dato l'annuncio che il proprietario del blackhole kit era stato arrestato.

Come dimostrato da questo esempio, la collaborazione fra i team di tutto il mondo è essenziale nella lotta alla ciminalità informatica. Un singolo team preposto alle risposte di emergenza informatica come SWITCH-CERT non può combattere contro una botnet di dimensioni globali, o quanto meno non può farlo da solo. I CERT non agiscono mai in modo isolato. Al contrario, si avvalgono delle loro reti di partner nazionali ed internazionali per coordinare le azioni rivolte contro i criminali informatici. L'obiettivo primario di un CERT è la tutela della propria circoscrizione, vale a dire della sua clientela.

Riduzione, individuazione e pulitura

In SWITCH seguiamo, in tali casi, un duplice approccio: riduzione delle nuove infezioni e individuazione, seguita dalla pulitura, dei sistemi compromessi. A tal fine, SWITCH riceve quotidianamente dai suoi partner liste che riportano i web server compromessi per i domini .ch/.li che vengono usati per gli attacchi drive-by. I proprietari di queste pagine web vengono quindi informati e hanno un giorno a disposizione per risolvere il problema. Se non lo fanno, SWITCH sospende i nomi di dominio a protezione dell'utenza.

SWITCH non possiede le risorse per poter investigare qualsivoglia exploit kit usato in Svizzera. Pertanto passiamo le consegne di quanto rilevato, per esempio dei link maligni trovati nelle pagine web attaccate, a terzi di nostra fiducia. Si tratta per lo più di altri CERT presenti in altre parti del mondo, partner che incontriamo regolarmente e con i quali abbiamo lavorato in precedenza. Questi saranno in grado di usare le informazioni per raccogliere più indagini sul back-end.

In estrema sintesi, questa consiste nel fingere di far parte dell'"impero del male" allo scopo di attrarre i sistemi infetti.

Queste stesse informazioni potranno essere usate anche per individuare clienti infetti nella colonna vertebrale accademica. I cosiddetti indicatori di compromesso (IOC) segnalano i collegamenti ai siti maligni. Noi informiamo i nostri clienti circa le rilevazioni rilevanti per i loro siti, in modo che possano risolvere i problemi riscontrati. Questo approccio ha dimostrato di avere successo: ogni nuova famiglia di malware viene solitamente sradicata entro poche settimane dalla colonna vertebrale accademica, grazie ai nostri partner operanti presso le università svizzere.

Una tecnica denominata sinkholing

L'individuazione dei clienti infetti è spesso un compito difficile, ma i ricercatori di tutto il mondo riescono a monitorare le grandi botnet adottando una tecnica denominata sinkholing. In estrema sintesi, questa consiste nel fingere di far parte dell'"impero del male" allo scopo di attrarre i sistemi infetti. Le liste dei link verso questi clienti sono quindi redistribuite agli operatori della rete di tutto il mondo per la pulitura. SWITCH-CERT, in quanto stimato membro della comunità globale di sicurezza, riceve quotidianamente centinaia di indirizzi IP infetti da tutta la Svizzera. Questi vengono in seguito redistribuiti ai nostri colleghi presso i vari IPS.

ZeroAccess è un esempio eccellente di come un CERT non sia in grado, da solo, di combattere contro le botnet globali e di come il successo possa invece essere raggiunto attraverso l'interazione e la cooperazione.

SWITCHcert
Questo testo è apparso nello SWITCH Journal aprile 2015.
Sull’autore
Serge   Droz

Serge Droz

Il dott. Serge Droz ha studiato fisica al Politecnico di Zurigo e ha ottenuto il dottorato in fisica teorica presso l'University of Alberta (Canada). Ha lavorato come incaricato della sicurezza informatica per l'Istituto Paul Scherrer a Villigen AG. In SWITCH è entrato nel 2004 in funzione di responsabile del Computer Emergency Response Team CERT.

E-mail

Che tipo di dati si scambiano i CERT?

SWITCH-CERT configura spesso il destinatario quando si parla di scambio di dati. Riceviamo regolarmente informazioni riguardanti:

  • Sistemi potenzialmente attaccati presso le università svizzere e, più in generale, in Svizzera.
  • Web server attaccati e utilizzati per distribuire malware od ospitare pagine di phishing
  • Liste di noti sistemi maligni
  • Grandi quantità di credenziali di accesso compromesse, corredate talvolta delle relative password.

Scambiamo comunque regolarmente le informazioni relative a:

  • URL che troviamo nei siti attaccati e che portano a server maligni
  • Liste di clienti compromessi ottenute attraverso l'analisi dei logfiles
  • IOCs che aiutano nell'individuazione delle minacce.
Altri contributi