domenica 13 novembre 2011

FBI e Trend Micro chiudono enorme botnet, strumento di verifica DNS


Fbi e Trend Micro e sono lieti di annunciare lo smantellamento di una delle più grandi reti di botnet. L'azione concertata contro una banda criminale radicata è altamente significativa e rappresenta la più grande storia di takedown criminale. Sei persone sono state arrestate grazie alla cooperazione multinazionale, applicando la legge sulla base delle solide informazioni fornite da Trend Micro e altri partner del settore.

Più di 4 milioni di vittime in oltre 100 paesi sono stati salvati dalla maligna influenza di questa botnet e un'infrastruttura criminale di oltre 100 server è stata smantellato con il minimo disturbo per le vittime innocenti. L'8 novembre, una botnet di lunga vita con oltre 4.000.000 di bot è stata bloccata dalla FBI e polizia estone, in collaborazione con Trend Micro e una serie di altri partner del settore.

In questa operazione, soprannominata "Operation Ghost Click", l'Fbi ha fatto irruzione in due data center di New York e Chicago e un'infrastruttura di comando e controllo (C & C) costituita da più di 100 server è stata messa offline. Allo stesso tempo, la polizia ha arrestato diversi membri estoni di Tartu, in Estonia. "Sei cittadini estoni sono stati arrestati con l'accusa di esecuzione di un sofisticato anello di frodi su Internet che ha infettato milioni di computer con un virus in tutto il mondo e ha permesso ai ladri di manipolare la multi-miliardaria industria della pubblicità su Internet.

Gli utenti delle macchine infette erano a conoscenza che i loro computer erano stati compromessi, o che il software dannoso aveva reso le loro macchine vulnerabili a una serie di altri virus", annuncia l'Fbi in un comunicato stampa. "Si erano organizzati e operavano come un business tradizionale, ma beneficiando illegalmente del risultato del malware", ha detto uno degli agenti cibernetici che vi ha lavorato. "C'è stato un livello di complessità qui che non abbiamo mai visto prima".


La botnet era composta da computer infetti il ​​cui le impostazioni del Domain Name Server (DNS) erano state modificate per puntare a indirizzi IP stranieri. I server DNS risolvono i nomi di dominio leggibili agli indirizzi IP che vengono assegnati ai server su Internet. La maggior parte degli utenti di Internet utilizza automaticamente i server DNS del proprio Internet Service Provider (ISP). Il DNS-Trojan aveva silenziosamente modificato le impostazioni del computer per l'utilizzo all'estero dei server DNS.

Questi server DNS sono configurati da parte di terzi malintenzionati e tradotti alcuni domini in indirizzi IP dannosi. Di conseguenza, le vittime venivano reindirizzati a siti web potenzialmente dannosi senza essere scoperti. Una varietà di metodi per monetizzare il DNS Changer botnet sono utilizzati da criminali, tra cui la sostituzione di annunci pubblicitari sui siti web che vengono caricati dalle vittime, dirottando i risultati della ricerca e spingendo altri malware.


Trend Micro sapeva chi aveva avviato molto probabilmente il DNS Changer botnet dal 2006, ma ha deciso di tenere alcuni dati e conoscenze per sè, senza pubblicarli, per di consentire le forze dell'ordine di prendere la corretta azione legale contro i criminali informatici che vi stavano dietro. Ora che i principali responsabili sono stati arrestati e la botnet è stata abbattuta, Trend micro può condividere alcune delle informazioni dettagliate che hanno raccolto negli ultimi 5 anni.

Il gruppo di criminalità informatica che stava controllando ogni passo dell'infezione da Trojan per monetizzare i bot infetti è la società estone conosciuta come Digital Rove. Rove Digital è la società madre di molte altre aziende come Esthost, EstDomains, Cernel, UkrTelegroup e molte aziende di guscio meno note.

Trend Micro sapeva che Rove Digital non era solo l'hosting Trojan, ma che stava controllando i server C & C e i server DNS non autorizzati, così come l'infrastruttura che ha monetizzato i click fraudolenti da parte del DNS Changer botnet. Oltre il DNS Changer, Esthost e Rove Digital stavano diffondendo anche FakeAV, ed era coinvolta nella vendita di prodotti farmaceutici discutibili e altri crimini informatici. Rove Digital aveva dato anche l'esecuzione di un programma FakeAV/canaglia di affiliazione denominato DNS Nelicash.


A partire dal 2007, l'anello di informatico ha utilizzato una classe di malware chiamata DNSChanger per infettare circa 4 milioni di computer in oltre 100 paesi. Ci sono state circa 500.000 infezioni negli Stati Uniti, compresi i computer appartenenti a privati, aziende ed enti governativi come la NASA. I ladri sono riusciti a manipolare la pubblicità su Internet per generare almeno 14 milioni di dollari commissioni illecite.

In alcuni casi, il malware ha avuto l'effetto ulteriore di bloccare il softtware anti-virus degli utenti e l'aggiornamento del sistema operativo, esponendo così le macchine infette a software ancora più dannosi. DNSChanger è stato utilizzato per reindirizzare gli ignari utenti a server canaglia controllati dal cyber-ladri, permettendo loro di manipolare l'attività web degli utenti.

Quando gli utenti di computer infetti cliccavano sul link per il sito ufficiale di iTunes, per esempio, venivano invece portati a un sito web per un business non affiliato con Apple Inc. che pretendeva di vendere il software Apple. Non solo i ladri cibernetici hanno fatto soldi da questi schemi, ma hanno privato di entrate consistenti i ​​gestori di siti web legittimi e gli inserzionisti. Gli Stati Uniti cercheranno di far estradare i sei cyber criminali arrestati in Estonia da parte delle autorità locali.

In concomitanza con gli arresti, le autorità statunitensi hanno sequestrato computer e rogue server DNS in varie località. Come parte di un ordine del tribunale federale, i server DNS non autorizzati sono stati sostituiti con i server legittimi nella speranza che gli utenti che sono stati infettati non hanno interrotto il loro accesso a Internet.E 'importante notare che i server non sostituiscono nè rimuovono il malware o il virus DNSChanger che possa aver infettato i computer.

Gli utenti che credono che i loro computer potrebbero essere infetti devono contattare un professionista del computer. "Se siete preoccupati che possiate essere stati vittima di questa attività criminale, l'Fbi ha reso disponibile uno strumento online che vi permetterà di controllare se le impostazioni del server DNS sono stati manomessi", dice Rik Ferguson, direttore della sicurezza di Trend Micro. In primo luogo è necessario scoprire quali sono le vostre attuale impostazioni del server DNS.

Su un PC, aprire il pulsante Start del menu facendo clic sul pulsante Start o l'icona di Windows in basso a sinistra dello schermo, nella casella di ricerca digitate "cmd" e premete Invio (per utenti di Windows 95, selezionare "Avvio", poi "Esegui"). Questo dovrebbe aprire una finestra nera con testo bianco. In questo tipo di finestra digitate "ipconfig / all" e premete Invio. Cercate la voce che recita "Server DNS" e annotate gli indirizzi numerici che vi sono elencati.


Su un Mac (non sono troppe le vittime), fare clic sull'icona di Apple in alto a sinistra dello schermo e selezionare "Preferenze di Sistema", dal pannello Preferenze selezionate l'icona "Network". Una volta che questa finestra si apre, selezionate la connessione di rete attualmente attiva nella colonna a sinistra e sopra a destra selezionate la scheda DNS. Annotate gli indirizzi dei server DNS che il computer utilizza per la configurazione. Potete controllare per vedere se questi indirizzi corrispondono ai server utilizzati dai criminali.

Cliccate su Operation Ghost Click utilizzando questo strumento on-line fornito dal FBI , è sufficiente inserire l'indirizzo IP, uno ad uno e fare clic sul pulsante "controllo ip". Se ritenete che il vostro computer potrebbe essere stato infettato, è possibile utilizzare HouseCall di Trend Micro per la scansione gratuita e clean-up e notificare all'Fbi inviando questo modulo. Si dovrebbe anche contattare il vostro Internet Service Provider per un consiglio su come ripristinare le impostazioni DNS legittimi. Continui aggiornamenti su questa minaccia si possono trovare sulla landing page di Operation Click sul sito di Trend Micro.

Nessun commento:

Posta un commento