Menu

Botnet: stop a SIMDA e Beebone

Interpol e Trend Micro da un lato, Intel con Europol ed altre organizzazioni dall'altro pongono fine a due centrali del crimine informatico che agivano attraverso milioni di inconsapevoli PC distribuiti in ogni parte del mondo.

Cosa sono le Botnet ormai lo sanno tutti:insidiose reti di PC sui quali, a totale insaputa dei loro padroni, viene installato da remoto del Software maligno comandabile a distanza per svolgere funzioni illecite di cattura dati, tracciamento operazioni, invio spam e Malware e così via.

I dati più recenti sugli andamenti della sicurezza in rete -numero di macchine infettate o violate, danni prodotti, tempi di ripristino della situazione e altri parametri ancora - indicano che la lotta tra "buoni e cattivi" continua senza soste, con alcuni fenomeni in calo, tipo i tradizionali virus o lo spam, mentre altri risultano sempre più difficili da scovare e pericolosi per i danni che generano, essendo frutto di bande di cybercriminali sempre più competenti e meglio organizzati. Un esempio dei frutti di queste organizzazioni criminose sono proprio le Botnet che devono il loro successo a porzioni di software che silentemente si insediano sui PC degli utenti, senza mai far apparire la loro presenza, ma usandoli come "braccia armate" attraverso le quali perpetrare azioni più o meno letali per le loro vittime.

Ogni tanto, però, queste Botnet vengono individuate e debellate, assegnando un punto di vantaggio per chi le scopre. Ma quante sono quelle che rimangono nell'ombra? Pensiamo positivo, e plaudiamo alle due squadre che proprio in questi giorni hanno potuto innalzare la bandiera della vittoria dopo lunghi mesi di osservazioni, indagini, analisi.

Da un lato, abbiamo il duo Trend Micro / Interpol che insieme hanno sconfitto SIMDA, Botnet che è risultato aver infettato oltre 770.000 PC distribuiti in ogni parte del mondo, Italia inclusa. Dall'altro, il merito va a Intel Security che, assieme allo European Cybercrime Centre (EC3) di Europol, le autorità olandesi, l’FBI degli Stati Uniti e altri partner del settore privato, è riuscita a porre fine alla Botnet Beebone, una vera e propria centrale operativa utilizzata per spargere Malware di ogni genere, presente su centinaia di migliaia di PC in 195 Paesi del mondo.

SIMDA, Botnet dalle mille facce

Ben radicata in Paesi quali Olanda, Germania, Stati Uniti, UK, Turchia, Canada, Russia e Italia, la botneet SIMDA era impiegata Cybercriminali per ottenere l’accesso ai computer da remoto e impossessarsi così delle informazioni personali sensibili degli utenti. I criminali utilizzavano poi i dispositivi infettati per continuare a diffondere Malware e lanciare attacchi.

Nell'individuazione della rete, Trend Micro ha fornito alcune informazioni chiave per il successo, quali gli indirizzi IP dei Server coinvolti e le caratteristiche dei Malware utilizzati. Malware che aveva preso di mira siti popolari come Facebook, Bing, Yahoo e Google Analytics.

Una caratteristica che ha reso particolarmente difficile l'individuazione della Botnet SIMDA sta nella sua capacità di modificare gli HOSTS File che reindirizzano gli utenti su siti infetti anche quando stanno cercando di accederne altri perfettamente legali. Tra gli indirizzi più gettonati ci sono, naturalmente, quelli di Facebook, Bing, Yahooe Google Analytics si di tipo gobale che di tipo locale.

Nella figura, tratta dal Blog di Tren Micro, viene presentato il modo nel quale è stato modificato l'HOSTS file.

SIMDA-TrendMicro

Dopo essersi accerato della presenza - e dell'esecuzione - di determinati processi, il Malware raccoglieva informazioni che poi passava ai suoi "gestori". Era inoltre in grado di lanciare Spam, così come di partecipare ad attacchi di tipo DDoS (Distributed Denial-of-Service) per bloccare l'operatività di determinati siti.

Chiunque abbia il sospetto che il proprio PC possa esser stato infettato da SIMDA può verificare il contenuto dei File HOSTS e rimuoverne manualmente tutte le voci non note o non giustificate.

Stando a Trend Micro, le botnet SIMDA sono proliferate anche in altre varianti, tra le quali BKDR_SIMDA.SMEP e BKDR_SIMDA.SMEP2.

La fine di Beebone iniziata nel marzo 2014

Per bloccare Beebone è stato necessario attivare un’operazione di polizia internazionale – chiamata Operation Source – grazie alla quale è stato possibile smantellare la struttura criminale alle spalle della botnet 'polimorfica'.

La minaccia Beebone - nome in codice Intel W32/Worm-AAEH -è stata identificata per la prima volta nel marzo 2014, ma solo nel settembre 2014 sono stati raccolti dati sufficienti per coinvolger le agenzie anticrimine internazionali in una lotta comune per blocarne la struttura. Lotta cha ha visto il coinvolgimento diretto delo European Cybercrime Centre (EC3) di Europol, delle autorità olandesi, dell’FBI degli Stati Uniti e di altri partner del settore privato.

La botnet Beebone, che favorisce il download di vari tipi di malware sui PC delle vittime – tra cui furti di password bancarie, rootkit, falsi antivirus, motori di Spam e ransomware – si è resa responsabile di infezioni di malware su migliaia di sistemi in 195 Paesi del mondo.La peculiarità di Beebone è che mutava costantemente nel tempo, così da risultare estremamente difficile da individuare e riconoscere. Caratteristica che la fa definire polimorfa e che ne ha permesso di rilevare innumerevoli varianti tra i milioni di PC infettati.

Il malware è anche caratterizzato da funzionalità wormlike che ne consentono la rapida diffusione e propagazione attraverso reti, unità esterne rimovibili (USB / CD / DVD), e anche file di archiviazione ZIP e RAR. In uno dei suoi picchi nel 2014, il team di McAfee Labs ha rilevato più di 100.000 infezioni dovute alla botnet Beebone. E, dal momento che il dato derivava unicamente da Intel Security, è altamente probabile che l’infezione fosse molto più estesa.

"Intel Security ha smantellato con successo il worm polimorfico noto come W32 / Worm-AAEH / Beebone grazie a un’azione congiunta con alcune forze dell'ordine a livello globale come il Dutch High Tech Crime Unit, Europol e l’FBI" - ha dichiarato Raj Samani, CTO EMEA di Intel Security - "Intel Security ha potuto identificare di più di 5 milioni di campioni unici AAEH, diffusi in quasi 200 paesi. Questo tipo di operazione non poteva avere successo senza una stretta collaborazione tra organizzazioni di polizia e aziende private, come Intel Security. Questa operazione è un'ulteriore conferma che solo un impegno congiunto è in grado di rallentare la crescente minaccia di ogni tipo di crimine informatico. Solo con la collaborazione di agenzie pubbliche e private che si impegnano insieme per combattere la continua evoluzione delle minacce informatiche possiamo contrastarle in modo efficace e rendere il mondo online un luogo più sicuro per tutti."

Per smantellare la rete è stata avviata l'operazione chiamata "Operation Source", guidata dall'European Cybercrime Centre (EC3) dell'Europol alla quale hanno preso parte numerose altre organizzazioni di polizia e servizi segreti di vari Paesi del mondo. Il supporto tecnico è stato garantito da Intel Security, Kaspersky Lab e Shadowserver

Rimuovere il Malware dal PC non è proprio immediato: il continuo mutare - anche più volte al giorno - del codice lo rende particolarmente difficile da individuare, mentre l'oscuramento dei siti dei produttori di antivirus che mette in atto impedisce di attivare soluzioni online. La strada migliore è passare dal sito di Shadowserver che ha creato una pagina che raccoglie i Tool capaci di eliminare il Malware, o accedere direttamente alla pagina messa a disposizione da McAfee: http://www.mcafee.com/us/downloads/free-tools/stinger.aspx

Aggiungi commento


Codice di sicurezza
Aggiorna

Torna in alto