Microsoft: abbiamo sconfitto la botnet Rustock

In passato si erano già registrate azioni del genere, ad esempio contro “Waledac” (ved. questa notizia), ma il giro di vite per “decapitare” la botnet “Rustock” ha sicuramente una portata molto più ampia.
Un team di esperti, guidato da alcuni esponenti di Microsoft e formato anche da diversi consulenti legali, ha infatti preparato un attacco ben orchestrato nei confronti di una delle minacce più pericolose per gli utenti a livello mondiale.
Richard Boscovich, uno dei responsabili del Microsoft Digital Crimes Unit, ha dichiarato: “solo un anno fa, annunciammo la neutralizzazione della botnet Waledac grazie ad un’operazione – “Operation B49” – svolta in collaborazione con altre realtà industriali ed alcuni esperti universitari. Sono orgoglioso di far presente che, in forza delle conoscenze acquisite, siamo riusciti a sradicare una più grande, più famosa e più complessa botnet, conosciuta col nome di Rustock“.

Secondo le stime rese note dal gigante di Redmond, sarebbero circa un milione, ancor’oggi, i sistemi infettati da Rustock che sino a qualche ora fa potevano essere liberamente controllati, da remoto, dai gestori della botnet o da criminali compiacenti. Poggiando sulla botnet Rustock, aggressori di varie parti del mondo potevano inviare quantità incredibili di messaggi di spam.

La nuova operazione contro Rustock, battezzata “Operation B107“, aveva come obiettivo primario quello di “spezzare i fili” che connettevano le macchine infette con i sistemi “command-and-control” della botnet (da questi ultimi partivano gli “ordini” trasmessi a tutti i personal computer illecitamente controllati). Per riuscire nell’intento, spiega Boscovich, si sono utilizzate sia misure tecniche sia legali (ad esempio, i sequestri di server avvenuti su tutto il territorio USA a seguito delle denunce presentate dai legali di Microsoft).

Le botnet, lo ricordiamo, sono “reti” di personal computer, fisicamente situati anche a migliaia di chilometri di distenza, che vengono a costituirsi in seguito all’infezione da particolari malware. Tali componenti installano sui sistemi infetti degli elementi software nocivi (“trojan”) che di fatto aggiungono la macchina dell’utente vittima alla botnet e ne permettono il controllo remoto da parte degli aggressori. Le botnet hanno un potenziale enorme perché possono essere utilizzate, da malintenzionati, per sferrare attacchi DDoS, inviare spam oppure compiere altri tipi di operazioni dannose. Ovviamente i danni che possono causare i sistemi collegati alle botnet sono enormi perché altrettanto smisurate sono la potenza di calcolo e la banda di rete complessivamente a disposizione di chi gestisce la botnet stessa.
Stando a quanto riferito da Microsoft, la botnet Rustock è in grado di inviare, potenzialmente, qualcosa come 30 miliardi di e-mail di spam al giorno. Gli esperti della Digital Crimes Uniti della società di Redmond hanno addirittura rilevato sistemi dai quali partivano 7.500 messaggi indesiderati nel giro di 45 minuti, con un potenziale di 240.000 e-mail di spam al giorno.

Nell’operazione B107, Microsoft è stata appoggiata anche da una famosissima casa farmaceutica (lo spam veicolato da Rustock, infatti, “pubblicizzava” spesso medicinali illegali, falsi, di dubbia provenienza o pericolosi) che, evidentemente, ha voluto contribuire ad arginare il fenomeno.

Barry Greene, presidente dell’Internet Software Consortium, ha spiegato che con Rustock si è messa a punto una tecnica per sconfiggere le reti botnet più grandi e complesse. Tutto sarebbe cominciato quando un ampio gruppo di ricercatori hanno iniziato ad osservare e studiare il comportamento di Rustock sviluppando alcune tecniche per la sua eliminazione.

Rustock fa uso di un ingegnoso algoritmo per la generazione dei nomi dei siti web da contattare nel caso in cui i server “command-and-control” principali della botnet dovessero essere resi irraggiungibili, come nel caso dell’operazione B107.
Come ci spiega Marco Giuliani, Malware Technology Specialist per Prevx, il malware presente sui sistemi infetti prova inizialmente a connettersi ai server “command-and-control“. Nel caso in cui il tentativo di connessione dovesse fallire, Rustock si collega ad alcuni famosissimi siti web che pubblicano news online. Attingendo a determinati campi od aree di contenuto, il malware genera un “seed” (in italiano, “seme“) ovvero un identificativo che varia sulla base dei testi pubblicati. Ottenuto il “seed“, Rustock genera l’indirizzo Internet (dominio) al quale collegarsi che ricevere i comandi e tornare quindi a far parte della botnet.
Coloro che gestiscono la botnet possono quindi sapere a quali URL si collegherà Rustock per ottenere degli ordini: sarà sufficiente registrare i domini corrispondenti per tornare ad essere in grado di inviare comandi a tutti i sistemi illegalmente controllati.

Non è chiaro come Microsoft e gli altri promotori dell’operazione “affossa-Rustock” si siano attivati per distruggere gli altri tentacoli della botnet. Si sa soltanto che la società di Steve Ballmer ha avviato una stretta collaborazione con le autorità cinesi per bloccare i tentativi di registrazione di nomi a dominio collegati con l’azione del malware.

Quanto la manovra su scala planetaria abbia avuto successo lo si apprenderà, assai probabilmente, nel corso delle prossime ore.

“Rustock è da anni una delle minacce più insidiose grazie alle notevoli capacità di evadere dai classici software di sicurezza. Proprio per questa longevità, la botnet ha raggiunto nel tempo numeri altissimi, permettendo di veicolare una quantità enorme di spam nonché permettendo ai creatori di Rustock di disporre a proprio piacimento di una banda notevole, potenzialmente in grado di lanciare attacchi DDoS di qualsiasi portata“, ha aggiunto Giuliani. “Purtroppo, l’aver spento in maniera definitiva la botnet Rustock non può farci dimenticare delle migliaia di botnet ancora attive, di dimensioni assolutamene inferiori a Rustock ma che rimangono comunque pericolose e pronte a sferrare attacchi o veicolare spam e malware, a piacimento dei propri creatori“.