sabato 19 marzo 2011

Microsoft annuncia la sconfitta di Rustock, ha infettato milioni di PC


Microsoft ha appena concluso un’importante operazione, classificata come B107, con la quale è riuscita a neutralizzare la botnet Rustock, una delle maggiori fonti di spam mondiale. Da questa botnet arrivava infatti il 39% dello spam mondiale. Dopo aver preso il controllo di oltre un milione di computer in Internet (i cosiddetti “PC zombie”), questa botnet era ormai divenuta in grado di inviare ogni giorno miliardi di messaggi di posta spazzatura ad utenti di tutta la Rete.

Poco più di un anno fa, Microsoft annunciava che la Microsoft Digital Crimes Unit (DCU) , in collaborazione con accademici ed esperti del settore, era riuscita a neutralizzare la botnet Waledac, in un'operazione denominata Operazione B49. Oggi, Microsoft è lieta d'annunciare che, sulla base delle conoscenze acquisite  con questo sforzo, è riuscita a tirar giù una delle più grandi, famose e complesse botnet nota come Rustock. Questa botnet si stima abbia infettato circa un milione di computer che operano sotto il suo controllo ed è stata riconosciuta in grado di inviare miliardi di messaggi di spam ogni giorno, tra cui false lotterie Microsoft, false offerte e prescrizione di farmaci potenzialmente pericolosi. 

Questa operazione d'alto profilo, nota come Operazione B107, è il risultato del comune sforzo tra Microsoft DCU, Microsoft Malware Protection Center e Trustworthy Computing - conosciuto come Progetto MARS (Microsoft Active Response per la Sicurezza) - che ha interrotto la botnet e iniziato ad aiutare le vittime a riprendere il controllo dei loro computer infetti. Come per Waledac, per fermare i danni causati dalla continua botnet Rustock, questa operazione ha invocato misure legali e tecniche recidendo il collegamento tra la struttura di comando e controllo della botnet e il malware che infetta i computer che operano sotto il suo controllo.

La botnet Rustock è stata ufficialmente disattivata ieri, dopo una lunga indagine durate mesi, da DCU e dai partner di Microsoft, un successo dinanzi alla US District Court per il distretto occidentale di Washington. Misure legali e tecniche hanno permesso a Microsoft di neutralizzare la botnet Waledac. Microsoft ha intentato una causa contro gli operatori anonimi della botnet Rustock, basata in parte sugli abusi di marchi di Microsoft negli bot spam. Tuttavia, l'infrastruttura Rustock è molto più complicata di Waledac, contando su indirizzi di Internet Protocol hard-coded, piuttosto che nomi di dominio e peer-to-peer che controllano i server di comando per il controllo della botnet. 

Per essere sicuri che il bot non potesse essere rapidamente spostato a nuove infrastrutture, Microsoft ha cercato e ottenuto un ordine del tribunale che gli ha permesso di lavorare con il Marshals Service degli Stati Uniti per acquisire elementi fisici di prova in loco, in alcuni casi, bloccare i server hosting colpiti per le analisi. In particolare, sono stati sequestrati i server da cinque hosting provider che operano in sette città degli Stati Uniti, tra Kansas City, Scranton, Denver, Dallas, Chicago, Seattle, Columbus e, con l'aiuto a monte da parte dei fornitori, Microsoft è riuscito a recidere gli indirizzi IP che controllavano la botnet, tagliando la comunicazione e disabilitandola.


Questa operazione è in corso e gli investigatori di Microsoft stanno ora analizzando le prove raccolte dai sequestri per poter imparare sulle operazioni botnet. I bot sono versatili, limitati solo dalla fantasia del bot-herders. È per questo che Microsoft ed i suoi partner stanno lavorando in modo così aggressivo su approcci innovativi per disabilitare rapidamente l'intera infrastruttura di una botnet, in modo che rimanga inattiva, come quando si assiste alla pulizia del malware dai computer infetti. 

Ecco come Microsoft si è avvicinato alla rimozione di Waledac e si sta attualmente avvicinando al takedown di Rustock. Microsoft continuerà a investire in operazioni simili anche in futuro nella sua missione di annientare le botnet e rendere Internet un luogo più sicuro per tutti. Tuttavia, nessuna impresa o il gruppo può raggiungere questo nobile obiettivo da solo. Si richiede la collaborazione tra industria, ricercatori universitari, le forze di polizia e i governi di tutto il mondo. In questo caso, Microsoft ha collaborato con Pfizer,  la rete di sicurezza FireEye provider ed esperti di sicurezza presso l'Università di Washington

Tutte e tre le dichiarazioni previste per il giudice sui pericoli rappresentati dal botnet Rustock e il suo impatto sulla comunità di Internet. Microsoft ha anche lavorato con Dutch High Tech Crime Unit all'interno della Netherlands Police Agency, per contribuire a smantellare parte della struttura di comando per il funzionamento di botnet al di fuori degli Stati Uniti. Inoltre, Microsoft ha lavorato con NC-CERT nel bloccare la registrazione dei domini in Cina che Rustock ha potuto utilizzare per il comando e server di controllo. Microsoft sta ora lavorando anche con i fornitori di servizi Internet e della Community Emergency Response Teams (CERT) in giro per il mondo per dare una mano e aiutare i proprietari dei computer colpiti a ripulire il malware Rustock dai loro PC.

Senza sforzi multi-laterali e collaborazione come questa tra pubblico e privato, un takedown di successo non sarebbe possibile. Da questa lezione tutti hanno imparato che la chiave di successo per combattere le botnet è stata la cooperazione. Le botnet sono note per essere lo strumento preferito dai cybercriminali per condurre una serie di attacchi online, utilizzando la potenza di migliaia di computer infetti in tutto il mondo per inviare spam, effettuare attacchi di tipo denial-of-service su siti web, diffusione di malware, facilitare click fraud in pubblicità online e molto altro ancora. 

Questa botnet in particolare non fa eccezione. Anche se il suo comportamento ha subito variazioni nel corso del tempo, Rustock è stato segnalato come essere una tra i maggiori spam bot al mondo, a volte in grado di inviare 30 miliardi e-mail spam al giorno. Ricercatori DCU hanno rilevato che un singolo computer infetto da Rustock è riuscito ad inviare 7.500 email di spam in soli 45 minuti - un tasso di 240.000 messaggi di spam al giorno. Inoltre, gran parte dello spam osservato proveniente da Rustock rappresenta un pericolo per la salute pubblica, a causa della pubblicità di prodotti farmaceutici contraffatti o non approvati.


Come accennato in precedenza, Pfizer dichiara di fornire le prove che il tipo di farmaci pubblicizzati attraverso questo tipo di spam possono spesso contenere principi attivi sbagliati, dosaggi non corretti o, peggio, a causa delle condizioni non sicure in cui vengono creati i i farmaci contraffatti, spesso sono contaminati da sostanze compresi i pesticidi, il piombo, la vernice per le autostrade e la cera per pavimenti, solo per citare alcuni esempi. Lo spam è fastidioso e può pubblicizzare prodotti potenzialmente pericolosi o illegali. 

È anche significativo come sia un sintomo di maggiore minaccia per la salute di Internet. Sebbene l'uso primario di Rustock sembra sia stato quello di inviare posta indesiderata, è importante notare che una botnet di grandi dimensioni può essere usata per quasi qualsiasi tipo di cybercrime. Le botnet sono potenti e, con un semplice comando, può essere inviata la password da un spambot a un ladro o attaccante DDOS. Ancora una volta, la ricerca DCU mostra che ci possono essere fino a 1 milioni di computer infettati da malware Rustock, tutti sotto il controllo della persona o delle persone che operano in rete come un esercito a distanza.

I bot-herders infettano i computer con malware in vari modi, come per esempio nel caso in cui il proprietario di un computer và su un sito-trappola con malware e fa clic su un annuncio dannoso o apre un allegato di posta elettronica infetto. I Bot-herders agiscono in modo discreto in modo che i proprietari spesso non sospettano che il proprio PC vive una doppia vita. E' come quando una gang si trova in casa di qualcuno per far uso di droga mentre i proprietari sono in vacanza e tornano a farlo ogni volta che il proprietario esce di casa, senza che il proprietario sappia nulla di ciò che è successo. 

I proprietari delle abitazioni possono meglio proteggersi con buone serrature nelle porte e sistemi di sicurezza nelle loro case. Allo stesso modo, i proprietari di computer possono essere meglio protetti da malware se eseguono l'aggiornamento del software - tra cui antivirus up-to-date e software antimalware - sui loro computer. Infine, incoraggiare ogni proprietario del computer di assicurarsi che la propria macchina non stia facendo lo sporco lavoro di qualcuno. 

Se ritenete che il vostro computer possa essere infettato da Rustock o altro tipo di malware, vi invitiamo a visitare support.microsoft.com/botnet per la libera informazione e risorse per la pulizia del computer. Come per l'operazione B107, con il vostro aiuto e la continua cooperazione pubblica e di aziende private, università e forze dell'ordine, si possono fermare i criminali che utilizzano le botnet per devastare su Internet. Per seguire la Microsoft Digital Crimes Unit per le notizie e informazioni sul lavoro proattivo per combattere le botnet e altre minacce digitali, visitare il sito www.facebook.com/MicrosoftDCU o twitter.com/MicrosoftDCU.

Nessun commento:

Posta un commento