giovedì 20 settembre 2012

Microsoft interrompe botnet Nitol, disponibile strumento controllo computer


All'inizio della scorsa settimana, la Corte Distrettuale degli Stati Uniti per il Distretto Orientale della Virginia ha dato il permesso a Microsoft Digital Crimes Unit di distruggere più di 500 diversi ceppi di malware che potenzialmente erano in grado di colpire milioni di utenti. Nome in codice "Operazione b70", questa azione legale e la rottura tecnica è spiegata chiaramente in uno studio [Microsoft-Study-into-b70.pdf] del centro sicurezza di Microsoft.

Lo studio ha permesso di trovare i criminali informatici che si infiltravano nelle catene di approvvigionamento non protette per introdurre il software contraffatto integrato con malware al fine di infettare i computer all'insaputa degli utenti. Per interrompere questi ceppi di malware, Microsoft ha contribuito in modo significativo a limitare la diffusione in via di sviluppo del Trojan:Win32/Nitol.A, la sua seconda interruzione della botnet negli ultimi sei mesi.

Una catena di fornitura tra un produttore e un consumatore diventa non protetta quando un distributore o un rivenditore riceve o vende prodotti da fonti sconosciute o non autorizzate. Nell'Operazione B70, Microsoft ha scoperto che i rivenditori vendevano computer carichi di versioni contraffatte di software Windows Embedded - una categoria di OS ottimizzata per alcuni dispositivi elettronici - con malware dannosi.


Malware che consente ai criminali di rubare le informazioni personali di una persona per accedere e abusare dei loro servizi online, tra cui e-mail, account di social networking e account bancari online. Esempi di questo abuso di malware includono l'invio di falsi messaggi e-mail e social media a familiari, amici e colleghi di lavoro di una vittima, vendere pericolosi farmaci contraffatti, e infettare i loro computer con malware.

I creatori di questa pericolosa botnet si nascondevano dietro il sito 3322.org, registrato a nome di una società chiamata Bei Te Kang Mu Software Techonlogy, il cui proprietario Peng Yong nega qualsiasi coinvolgimento. Peng ha detto che la sua società non tollera comportamenti scorretti sul dominio, 3322.org. Secondo uno dei capi della Microsoft Digital Crimes Unit, Richard Domingues Boscovich, tuttavia, il dominio è noto per aver condotto attività del genere fin dal 2008.

Tre altri individui non identificati sono stati accusati da Microsoft della costituzione e del funzionamento della rete Nitol. L'inchiesta della Microsoft Digital Crimes Unit è iniziato nel mese di agosto 2011 come uno studio sulla vendita e la distribuzione di versioni contraffatte di Windows. Dipendenti di Microsoft in Cina hanno comprato 20 nuovi computer da rivenditori e su 4 macchine hanno trovato le versioni preinstallate di Windows con malware attivo già installato.


Questo studio ha anche rivelato che, oltre a ospitare B70, il sito 3322.org conteneva l'incredibile cifra di 500 diversi ceppi di malware ospitati su più di 70.000 sottodomini. Microsoft ha trovato il malware anche in grado di accendere il microfono e la videocamera da remoto di un computer infetto, dando potenzialmente ai cybercriminali gli occhi e le orecchie in casa o al lavoro di una vittima.

Inoltre, Microsoft ha trovato malware che registra ogni pressione di una persona dei tasti, permettendo ai criminali informatici di rubare informazioni personali della vittima. La stesso botnet Nitol distribuisce attacchi DDoS che sono in grado di paralizzare le grandi reti sovraccaricandoli con traffico Internet, e creano punti di accesso nascosti sul computer della vittima per consentire a più malware di essere caricati su un computer infetto.

Microsoft ha ricorso contro la botnet Nitol come parte del sup progetto MARS (Microsoft Active Response for Security) l'impegno del programma per eliminare in modo proattivo le minacce malware che prendono di mira i suoi clienti e servizi cloud based. Microsoft ha presentato una denuncia presso la Corte Distrettuale degli Stati Uniti per il Distretto Orientale della Virginia attinente molte delle stesse violazioni commesse dagli operatori di altre tre botnet.


Le catene di computer zombie infettati da Waledac , Rustock e la Kelihos botnet, disattivata dalla stessa unità anticrimine informatica di Microsoft. Il 10 settembre, il giudice ha accolto la richiesta di Microsoft per un ordine restrittivo temporaneo contro Peng Yong e la sua compagnia. L'ordine consente a Microsoft di ospitare il dominio 3322.org, che ha ospitato la botnet Nitol, attraverso un nome a dominio di nuova creazione.

Questo sistema consente a Microsoft di bloccare il funzionamento della botnet e di 70.000 sottodomini ospitati su 3322.org, consentendo nel contempo che tutto il traffico dei sottodomini legittimi funzionino senza interruzioni. Il giudice distrettuale Gerald Bruce Lee, che presiede il caso, ha accolto la domanda di Microsoft per bloccare il traffico Internet il traffico da 3322.org che è stato infettato da malware Nitol e altri a uno speciale sito chiamato sinkhole.

Da lì, Microsoft può avvisare gli utenti dei computer interessati di aggiornare le loro protezione anti-virus e rimuovere Nitol dalle loro macchine. Dal momento che Lee ha emesso l'ordine, più di 37 milioni di connessioni malware sono stati bloccati da 3322.org, secondo Microsoft. Microsoft si impegna a proteggere i consumatori dalla lotta contro la distribuzione di software contraffatto e lavorando a stretto contatto con i governi, le forze dell'ordine e altri membri dell'industria in questi sforzi.



La rottura della botnet Nitol dimostra ulteriormente la sua volontà di prendere tutte le misure necessarie per proteggere i propri clienti e scoraggiare i criminali da defraudarli e utilizzare il malware che infetta il software contraffatto. Se ritenete che il vostro computer possa essere infettato da malware, Microsoft invita a visitare http://support.microsoft.com/botnets. Per verificare la presenza di malware è disponibile il Microsoft Safety Scanner. Poiché l'operazione è ancora in corso, Microsoft continuerà a fornire aggiornamenti non appena disponibili.

1 commento: