domenica 22 luglio 2012

Abbattuta Grum, KO la botnet da 18 miliardi di messaggi spam al giorno


Mercoledì scorso, gli esperti di sicurezza informatica hanno tirato giù Grum, la terza botnet più grande al mondo, un cluster di computer infetti utilizzati dai criminali informatici per inviare spam a milioni di persone. Gli esperti di sicurezza informatica dicono che Grum era responsabile di circa il 18% dello spam globale, o 18 miliardi di messaggi spam al giorno. Uno sforzo coordinato da parte dei ricercatori di sicurezza, ha portato al blocco martedì dei server di comando e controllo della botnet in Olanda e Panama, agli indirizzi IP 94.102.51.226 e 94.102.51.227.

Ma dopo quel giorno, gli architetti di Grum avevano già istituito sette nuovi comandi e centri di controllo in Russia e Ucraina. FireEye, una società di sicurezza informatica con sede a Milpitas, in California, ha detto che ha lavorato con le sue controparti in Russia e con SpamHaus, un'organizzazione britannica che traccia e blocca lo spam, per abbattere quei centri di comando e controllo Mercoledì mattina. I ricercatori hanno detto che sono stati in grado di vincere la botnet Grum tracciando di nuovo i suoi server e avvisando i fornitori di servizi Internet di spegnere i computer.

I ricercatori di Symantec hanno osservato con attenzione gli sviluppi di Grum e hanno notato un calo deciso nel traffico di spam proveniente dalla suddetta botnet. Intorno alle 17:00 del 17 luglio, la botnet ha inviato un lotto di circa 40.000 messaggi di spam. L'ora successiva il numero è sceso a circa 30.000. L'ora successiva 16.000, seguita da 11.000. I numeri hanno continuato a diminuire fino al punto in cui, venderdì pomeriggio, la botnet ha inviato solo una manciata di messaggi di spam.


I technologis hanno assunto un ruolo guida nella lotta alla criminalità digitale, piuttosto che aspettare che le autorità di polizia agiscano. All'inizio di quest'anno, i dipendenti Microsoft hanno assistito gli agenti federali in un raid sui server botnet in Pennsylvania e Illinois. Questi server sono stati utilizzati dai criminali per eseguire Zeus, una botnet che hanno prosciugato le informazioni personali delle persone, come password di conti bancari on line e numeri di carte di credito, dai computer infettati.

Quasi contemporaneamente, un altro gruppo di cybersecurity researchers a San Francisco erano impegnati a eliminare un altra botnet, chiamata Kelihos.b, che è stato usato per inviare spam. Mentre le aziende di sicurezza informatica sono pronte a pubblicizzare takedown botnet, i loro guadagni tendono ad essere temporanei. Il blocco di Kelihos.b durò meno di una settimana prima che una versione modificata della botnet ha iniziato infettare i computer. Il takedown Microsoft di Waledac, un'altra botnet di spam nel 2010, durò solo fino a quando i suoi creatori modificarono leggermente la sua architettura e crearono una nuova botnet.

"Allora, cosa impedirà ai creatori di Grum di gestire la loro botnet da un nuovo centro di comando e controllo domani?", scrive il New York Times. "Non si tratta di creare un nuovo server. Dovrebbero avviare una campagna completamente nuova e infettare centinaia di migliaia di nuove macchine per ottenere qualcosa di simile a Grum", ha detto Atif Mushtaq, uno specialista di sicurezza informatica presso FireEye. "Dovrebbero costruirla da zero. A causa di come è stato scritto il malware Grum, quando il server master è morto, le macchine infette non possono più inviare spam o comunicare con un nuovo server".


La rete di zombie è rimasta attiva per circa cinque anni e molto spesso associata a spam farmaceutico canaglia e vendita di falsi Rolex. Le stime variano, ma il numero di droni infetti nella sua rete poteva annoverarne 800.000 o più. "Secondo i dati provenienti da SpamHaus, in media, abituati a vedere l'invio di spam Grum intorno a 120 mila indirizzi IP ogni giorno, ma dopo il Takedown, questo numero è ridotto a 21.505", ha aggiunto Mushtaq. La battaglia definitiva contro Grum è iniziata il 9 Luglio.

"Paesi come Panama, Ucraina e Russia sembravano essere una sorta di Eden per loro, ma questa volta gli abbiamo dimostrato che si sbagliavano. Restano ancora dei piccoli focolai ma sono solamente dei nodi che stanno portando a termine il compito già assegnato", ha concluso Mushtaq. Questo segna un altro successo per il settore della sicurezza contro gli attacchi botnet. Tuttavia, sono relativamente pochi i criminali assicurati alla giustizia e  nuove botnet appariono velocemente come le altre sono chiuse.

Anche se gli arresti, come Grum, di solito provocano a breve termine una riduzione dei livelli di spam, botnet nuovi di solito colmarno il gap velocemente per soddisfare la domanda di posta indesiderata. Il gestore della botnet Bredolab, che ha avuto come target anche gli utenti di Facebook, è stato rintracciato in Armenia nel 2010 e incarcerato per quattro anni nel 2012. Il takedown di Grum deriva dagli sforzi di molti individui, ma una normativa precisa che obblighi i fornitori di servizi a verificare il traffico sugli IP potrebbe garantire interventi più rapidi.

1 commento: