Si discute sull'operazione Microsoft contro Waledac

Nelle scorse ore Microsoft ha comunicato di aver stroncato una delle botnet responsabili dell’invio di enormi quantitativi di messaggi spam. Conosciuta con il nome “Waledac”, la botnet sarebbe stata sconfitta utilizzando un duplice approccio, impiegando sia strumenti informatici che legali.
Microsoft aveva ottenuto nei giorni scorsi la chisura di 277 domini .com strettamente correlati alle attività “maligne” della botnet Waledac. In questo modo, sempre secondo la società di Redmond, si è potuto “tagliare il collegamento” tra i sistemi infettati ed i meccanismi remoti attraverso i quali gli aggressori potevano impartire comandi ai sistemi ormai divenuti parte della botnet. Tali sistemi sono definiti “PC zombie” a sottolineare il fatto che, una volta infetti, possono essere sfruttati per condurre qualunque genere di operazione dannosa. Stando a quanto riferito da Microsoft, Waledac era utilizzata principalmente per l’invio di spam: si parla addirittura dell’invio di 1,5 miliardi di messaggi di posta indesiderati al giorno.

C’è da dire che non tutti gli esperti di sicurezza concordano sulla portata dell’operazione. “Se l’azione condotta da Microsoft ha avuto un qualche impatto sul fenomeno spam, noi non ce ne siamo accorti”, ha osservato Richard Cox, uno dei responsabili del servizio antispam Spamhaus. Joe Stewart (SecureWorks), da parte sua, ha dichiarato come Waledac sia utilizzata più che altro per la diffusione e l’installazione di “rogue antivirus”.
“Waledac è responsabile dell’invio di meno dell’1% del traffico spam”, ha rincarato Cox. “Ci preoccupa molto di più Zeus, una botnet molto più pericolosa che tra l’altro è responsabile dell’invio di quantitativi di spam molto superiori”.

Anche Postini, azienda di proprietà di Google che fornisce strumenti per la protezione ed il filtraggio della posta elettronica, ha dichiarato di non aver rilevato alcuna flessione del fenomeno.

Stewart contesta anche l’effettivo “sdradicamento” della botnet: “Waledac utilizza un protocollo peer-to-peer per le attività di controllo e l’invio di comandi”, ha ricordato il ricercatore. Per tagliare completamente la testa ad una botnet come Waledac si dovrebbe non solo bloccare tutti i domini, come è stato fatto, ma anche ogni possibile indirizzo IP verso il quale può connettersi il malware. Un’operazione, questa, praticamente impossibile.

Stewart ha comunque applaudito all’iniziativa posta in essere da Microsoft. “Si tratta di un buon punto di partenza, un passo nella giusta direzione”, ha dichiarato. “Ci sono decine di botner dove la metodologia seguita può condurre a buoni risultati” riferendosi a quelle botnet che dipendono da un server centralizzato.

Da parte sua, Microsoft ha ribadito che il lavoro è ben lungi dall’essersi concluso e che presto ci saranno novità.