La botnet Kneber
E’ da circa 18 mesi che hacker europei e cinesi attaccano indisturbati decine e decine di migliaia di computer, coordinati in un grande attacco botnet comune, battezzato “Kneber” e basato sullo spyware “ZeuS”. Il centro di coordinamento sembra avere sede in Germania. L’attacco è stato scoperto solo a fine gennaio 2010 da Alex Cox, esperto americano di sicurezza informatica, in organico alla NetWitness, società che ha fra i sui clienti anche il Governo americano e l’FBI. A partire dalla fine del 2008, periodo in cui si ritiene l’attacco abbia avuto inizio, sono stati violati 75.000 computer attivi in 2.500 organizzazioni comprese tra aziende private e agenzie governative di 196 paesi del mondo. Una guerra mondiale informatica, in altre parole.
Con questo intervento cercheremo di spiegare, per quanto ci è posssibile, il fenomeno della Botnet Kneber con il fine di aiutare a prevenire una possibile infezione, anche in considerazione del fatto che questo attacco è ancora in corso e sono talmente estese le sue possibilità che non si possono ancora fare delle previsioni su dove e per quanto tempo ancora colpirà.
Cosa è esattamente la Botnet Kneber?
Si tratta di una botnet rilevata il 26 gennaio 2010 da NetWitness, che ha già compromesso più 75.000 computer attraverso il "Trojan Zeus", il quale ha lo scopo di raccogliere le informazioni di accesso (userid e password) dai questi computer. NetWitness ha annunciato la sua scoperta Giovedi 18 Febbraio 2102'.
Da dove viene il suo nome?
Il nome deriva dal "registrant" - hilarykneber@yahoo.com - utilizzato per il dominio originale, nato per raccogliere le varie componenti della botnet e far partire l'infezione.
Da quanto è attiva?
La sua prima attività è stata rilevata il 25 Marzo 2009.
Kneber coinvolge anche reti aziendali?
Sicuramente si. Subito dopo che un server di "comando e controllo" è stato rintracciato in Germania, i dati raccolti e conservati su questo server sono stati analizzati dalle forze dell'ordine, così hanno provveduto a notificare le infezioni alle aziende coinvolte. Attualmente l'URL malevolo è stato cambiato dai pirati informatici, così la botnet è sempre attiva.
Che danni può fare?
Le persone o le organizzioni che hanno PC infetti potrebbero subire perdite finanziarie, nel caso i criminali avessero ottenuto le informazioni necessarie per trasferire i fondi al di fuori dei loro conti di loro proprietà.
Che cosa è esattamente il trojan ZeuS?
ZeuS, chiamato anche Zbot, è uno strumento molto efficace sviluppato dalla criminalità informatica, la quale provvede regolarmente ad aggiornalo, renderlo più sofisticato e più furtivo. ZeuS è un trojan polimorfico, cioè si può presentare con un profilo diverso in ogni computer che infetta, rendendo in questo modo più difficile la cattura attarerso il sistema delle "signature", ciò uno dei sistemi maggiormente utilizzati dalle case che sviluppano software antivirus.
Per quale motivo è usato dai cybercriminali?
È principalmente usato per raccogliere le informazione di accesso degli utenti (userid e password), inoltre ricerca informazioni più dettagliate circa l'identità degli utenti reperendoli sulle pagine web mondiali. Ma può anche essere usato per rubare qualsiasi dato si trovi su un computer, abilitare il controllo remoto di sistemi compromessi e può essere usato per scaricare altro malware sui PC infetti. Infine provvede periodicamente a trasferire sul server di comando e il controllo quello che raccoglie sulla rete.
Quanto pericoloso può essere?
È classificato come il tipo più pericoloso di botnet in esercizio da parte della società di sicurezza Damballa, e 1.313 server di comando e controllo ZeuS sono stati individuati. Una botnet ZeuS è stata utilizzata per rubare i record di persone in cerca di occupazione mediante il sito Monster.com.
Come mai è così longevo?
Il codice malevolo è costantemente aggiornato per essere meno individuabilie e allo stesso tempo più flessibile. Alcune varianti sono state rilasciate con caratteristiche di "rootkit", utilizzate quindi per nascondersi all'interno dei computer infetti e usati come testa di ponte per continuare a propagare l'infezione. Il suo codice è stato anche venduto per circa 4.000 dollari per copia, quindi ci sono molti cybergangs che lo utilizzano per creare delle botnet da sfruttare per le loro attività illecite.
Aggiornamento del 12 Marzo 2010
Leggo sui network di settore che ZeuS sta continuando ad evolversi, aggiungendo nuove funzionalità VENDUTE in moduli, le quali fanno sempre più vittime tra gli ignari utenti della rete.
La cosa che mi lascia più allibito è chi ha sviluppato ZeuS non lo ha fatto per attaccare direttamente i sistemi informatici delle vittime, ma per vendere queste funzionalità ai "bad guys". I ricercatori sono quasi certi che la mente dietro ZeuS sia una singola persona, molto probabilmente attiva nell'Europa dell'est.Attualmente il "menù" disponibile è il seguente, ma l'elenco potrebbe essere incompleto perchè molte funzionalità sono ancora da scoprire o perchè l'attività di evoluzione della botnet è continua:
| toolkit base | 3.000$/4000$ | modulo base di ZeuS |
| controllo remoto | 10.000$ | modulo per controllo da remoto del PC vittima |
| anti smartcard | 10.000$ | in combinazione con modulo "controllo remoto", permette di disabilitare qualsiasi smart card usata per le connessioni |
|
Windows7/Vista |
2.000$ | modulo per hacking di Windows 7 o Vista, altrimenti il modulo base supporta solo XP |
| Firefox form grabber | 2.000$ | intercetta i dati inseriti dall'utente attraverso questo browser (esempio userid e password del conto corrente online |
| Backconnect | 1.500$ | modulo per frodi su transazioni finanziarie, se queste sono tracciate dalla banca sembrano create dal PC legittimo |
Per ulteriori informazioni consiglio di leggere questo importante "white paper" di TrendMicro: