Top20 agosto2011

Classifica malware - agosto 2011
Aleksandr Gostev
Agosto in cifre
Nel corso del mese nei computer degli utenti dei prodotti Kaspersky Lab:
•
•
•
•
sono stati respinti 193.989.043 attacchi di rete;
sono stati bloccati 64.742.608 tentativi di infezione via Internet;
sono stati individuati e neutralizzati 258.090.156 malware (tentativi di infezione locale);
sono state registrate 80.155.498 attivazioni di analisi euristiche.
Per l'industria della sicurezza informatica, agosto è tradizionalmente uno dei mesi più caldi,
nonostante sia il periodo delle vacanze estive. In agosto negli Stati Uniti si tengono due delle più
importanti conferenze nel settore della sicurezza: BlackHat e Defcon. Grazie alla loro ampia
risonanza, queste conferenze vengono sfruttate per comunicare i risultati delle indagini più
attendibili e, di fatto, non solo traggono le somme dell'anno precedente, ma delineano anche i nuovi
orizzonti per il prossimo futuro. Nell'ambito di queste conferenze emergono i nuovi metodi con cui
si conducono gli attacchi e diverse tecnologie di cracking, alcune delle quali purtroppo trovano
successivamente applicazione anche nei programmi malevoli. Inoltre, il periodo delle vacanze
estive crea altri problemi sia per gli utenti privati che per le organizzazioni: in ferie, infatti, le
persone tendono a servirsi con maggiore frequenza degli accessi alla rete forniti da Internet caffè,
punti gratuiti Wi-Fi, aeroporti ecc., trovandosi così al di fuori dei confini della loro consueta "zona
protetta" e rischiando di diventare quindi vittime dei cybercriminali.
Nuovi programmi e tecnologie dei cybercriminali
Che cosa è apparso di nuovo "sull'altra linea del fronte" in agosto? Quali nuovi malware e tecnologie
hanno utilizzato i cybercriminali nel mese appena trascorso?
Ice IX, il figlio illegittimo di Zeus
Il trojan Zeus (Trojan-Spy.Win32.Zbot) è già da qualche anno la minaccia più diffusa per gli utenti
dei servizi di online banking. Per il numero di casi che lo hanno visto partecipe e i danni da lui
apportati, questo trojan può essere tranquillamente considerato il "capo dell'Olimpo" dei
cybercriminali. Attorno a Zeus si è sviluppato un intero settore di cybercriminalità, per lo più in
lingua russa. Decine di gruppi lo utilizzano o utilizzano i risultati della sua attività per condurre le
proprie azioni criminali.
L'anno scorso è trapelata un'informazione secondo la quale il creatore di Zeus avrebbe venduto la
sua opera a un altro programmatore di virus, l'autore del trojan SpyEye, e che al posto di due
progetti concorrenti se ne sarebbe dovuto creare uno nel quale sarebbero confluite tecnologie
migliori delle precedenti. Di fatto, le nuove versioni di SpyEye, che vengono regolarmente
individuate, si presentano come eredi del vecchio Zeus.
Ma, contemporaneamente a questa "fusione", si è avuta una fuga di codici iniziali di Zeus che sono
diventati così accessibili a qualsiasi malintenzionato. Se si considera che il creatore di SpyEye vende
i suoi prodotti sul mercato della cybercriminalità per alcune migliaia di dollari, appare evidente che
ci sono anche persone non disposte a pagarlo e che creano quindi i propri cloni basati sui medesimi
codici iniziali.
In agosto uno di questi cloni ha raggiunto una diffusione piuttosto ampia e ha attirato l'attenzione
degli esperti del settore. Vale la pena sottolineare che questo trojan è apparso in realtà molto prima,
già nella primavera di quest'anno, ma ha così per dire raggiunto il successo presso i cybercriminali
solo in estate. Questa nuova varietà è stata battezzata dal suo autore "Ice IX" e viene venduta al
prezzo di 600-1800 dollari USA. Come per Zeus e SpyEye, anche in questo caso abbiamo a che fare
con l'opera di cybercriminali di lingua russa. Una delle più preoccupanti novità presenti in Ice IX è il
modulo Web modificato di controllo della botnet che consente ai cybercriminali di sfruttare
piattaforme di hosting "legali" anziché utilizzare i server bulletproof, curati dai cybercriminali.
Questa modifica consente agli operatori Ice IX di evitare i costi elevati del bulletproof hosting
service.
Nell'ambiente dei cybercriminali la pratica di "prendere in prestito", o per meglio dire "rubare",
codici altrui è piuttosto consueta. La comparsa di Ice IX, che non solo è in concorrenza con SpyEye
per quanto riguarda le sue funzioni, ma abbassa anche notevolmente i prezzi di simili trojan,
porterà nel prossimo futuro alla comparsa di nuovi "figli illegittimi" di Zeus e all'aumento del
numero di attacchi rivolti agli utenti dei sistemi di online banking.
Bitcoin e programmi nocivi
Quest'estate il sistema di moneta virtuale Bitcoin ha attirato l'attenzione massiccia non solo degli
utenti, ma anche dei cybercriminali. Questo sistema di "generazione di valuta", che si basa sullo
sfruttamento della potenza di calcolo dei computer, si è trasformato in un metodo per realizzare
guadagni illegali, grazie anche alla forte anonimità che lo caratterizza. La quantità di "moneta"
generata dipende dalla potenza del computer dell'utente. Quanti più sono i computer ai quali
l'utente ha accesso, tanto maggiore è il potenziale guadagno. Dopo una fase abbastanza rapida di
attacchi rivolti a sottrarre agli utenti i loro portafogli bitcoin, i cybercriminali hanno proseguito il
loro classico percorso approdando alle botnet.
Già in giugno abbiamo individuato il primo trojan (Trojan.NSIS.Miner.a) che, a insaputa dell'utente
del computer infetto, generava bitcoin. Questo evento ha segnato l'inizio della nostra collaborazione
con una serie di importanti pool bitcoin (server che conservano le informazioni relative ai
partecipanti alla rete e ai loro account), permettendoci di porre fine all'attività di una serie di
botnet analoghe. L'inizio dell'opposizione dell'industria degli antivirus ai cybercriminali in questo
nuovo settore ha portato alla comparsa di nuovi tipi di botnet bitcoin.
In agosto tra le nuove tecnologie utilizzate si è registrato l'utilizzo di Twitter, delle reti P2P e dei
proxy.
Per quanto riguarda la prima di queste tecnologie, fondamentalmente il bot si rivolge all'account
del social network Twitter, dal quale riceve i comandi depositati dal proprietario della botnet.
Dall'account il bot scarica il programma di generazione e l'informazione relativa al pool bitcoin con
il quale deve lavorare. Nuovo non è l'utilizzo di Twitter come centro di controllo della botnet, bensì
il suo impiego in relazione al sistema bitcoin.
Neppure le botnet P2P costituiscono una novità assoluta, ma il botnet P2P Trojan.Win32.Miner.h,
individuato dai nostri esperti in agosto, secondo le nostre stime conta circa 40 mila indirizzi
pubblici IP diversi. Se si considera ora che la maggior parte dei computer è coperta da firewall e
altre protezioni, il numero reale dei computer infetti potrebbe essere decisamente maggiore. Il bot
installa subito nel sistema tre generatori ("miner") Bitcoin: Ufasoft miner, RCP miner e Phoenix
miner.
Le due tecnologie precedentemente descritte consentono ai cybercriminali di supportare meglio la
capacità lavorativa della botnet e vengono sfruttate come misure per contrastare l'azione delle
aziende produttrici di antivirus che, se si utilizzasse un unico centro di controllo della botnet,
potrebbero bloccarne il funzionamento.
A questa minaccia sono esposti anche gli stessi account dei cybercriminali dei pool bitcoin che
possono essere cancellati dai proprietari dei server, in lotta continua contro i "generatori" illegali.
In agosto abbiamo scoperto che una delle maggiori botnet ha iniziato non solo a sfruttare la sua
potenza per generare bitcoin, ma ha anche cominciato a sfruttare lo schema di occultamento degli
account reali. A tale scopo i proprietari della botnet hanno creato uno speciale proxy server con il
quale interagiscono i computer infetti, poi le loro richieste vengono inoltrate a un pool bitcoin
sconosciuto. Dall'analisi del codice dei bot è impossibile scoprire con quale pool lavori la botnet e
quindi bloccare gli account fraudolenti. L'unica maniera per bloccare l'attività criminale in queste
circostanze è ottenere un accesso totale al proxy server.
In tutto alla fine di agosto siamo riusciti a individuare 35 programmi nocivi diversi che in un modo
o nell'altro operano con il sistema bitcoin.
Worm di accesso remoto
Di un certo interesse è stato il net worm Morto che si è andato diffondendo attivamente nella
seconda metà di agosto. A differenza della maggior parte dei suoi predecessori, particolarmente
vistosi negli ultimi anni, questo worm non sfrutta nessuna vulnerabilità per moltiplicarsi, ma, fatto
senza precedenti, per diffondersi sfrutta il servizio Windows RDP. Questo servizio si utilizza per
concedere l'accesso remoto alla scrivania di Windows. Il worm prova fondamentalmente diverse
combinazioni per ottenere la password di accesso. Secondo le primissime stime, attualmente il
numero di computer infettati da questo worm in tutto il mondo si aggira intorno ad alcune decine
di migliaia. Il pericolo principale risiede nel fatto che i cybercriminali hanno la possibilità di
controllare in remoto i computer infetti, poiché il worm contiene una funzionalità botnet e
interagisce con alcuni server di controllo. Fondamentalmente, inoltre, la botnet è destinata a
condurre attacchi DDoS.
Attacchi a singoli utenti: minacce mobili
Poco più di un anno fa (all'inizio dell'agosto 2010) è stato individuato
(http://www.securelist.com/ru/blog/34327/Pervyy_SMS_troyanets_dlya_Android) il primo
malware per il sistema operativo Android: il trojan SMS FakePlayer. Dal momento in cui è apparso
questo malware la situazione mondiale dei programmi dannosi è cambiata in maniera notevole, sia
per quanto riguarda le minacce mobili in generale, sia per quanto riguarda Android nello specifico.
Meno di un anno fa il numero dei malware per Android ha raggiunto quello dei programmi nocivi
per Symbian (il primo malware per il sistema operativo Symbian ha fatto la sua comparsa nel
2004). Al giorno d'oggi i malware per Android costituiscono circa il 24% di tutti i programmi nocivi
per le piattaforme mobili. Dalla comparsa di FakePlayer abbiamo individuato 628 varianti di diversi
programmi nocivi per Android.
Distribuzione per piattaforme dei malware mobili
Se si considera il numero complessivo dei malware per smartphone, dal 01.08.2010 al 31.08.2011,
l'85% è destinato ad Android.
Oggi il 99% dei malware per piattaforme mobili da noi individuati è costituito da programmi
dannosi che in un modo o nell'altro perseguono un unico scopo: ottenere direttamente o
indirettamente degli introiti illegali. In agosto nella moltitudine di questi tipi di programmi si è
nettamente distinto il trojan Nickspy, la cui principale caratteristica è la capacità di registrare tutte
le telefonate del proprietario del dispositivo infettato in file audio e di caricare questi ultimi sul
server remoto del cybercriminale. Una delle ultime varianti di questo trojan, mascherata da
applicazione del social network Google+, è in grado di ricevere senza dare nell'occhio le telefonate
in entrata effettuate dal numero di telefono del cybercriminale, scritto nel file di configurazione del
malware. Quando il telefono infetto, a insaputa del suo proprietario, riceve tali chiamate, il
cybercriminale può ascoltare tutto ciò che accade nei paraggi del dispositivo infetto, tra cui anche le
conversazioni dell'utente. Inoltre al trojan "interessano" anche i messaggi, le informazioni sulle
chiamate e anche le coordinate GPS. Anche tutti questi dati vengono inviati al server remoto del
cybercriminale.
I malware "non commercializzati" per i dispositivi mobili si incontrano al giorno d'oggi sempre più
di rado, sebbene tra loro si incontrino a volte esemplari decisamente curiosi. In agosto è stato
individuato il trojan Dogwar, che a giudicare dalle apparenze, è stato creato da persone (o da una
persona) che simpatizzano con l'organizzazione PETA, attiva nel campo della tutela dei diritti degli
animali. Presa la versione beta del gioco Dog Wars, il cybercriminale, dopo aver cambiato nell'icona
del programma la parola BETA in PETA, vi ha inserito un codice nocivo che:
•
•
invia a tutti gli utenti dell'elenco dei contatti dell'apparecchio infettato un SMS con il testo "I
take pleasure in hurting small animals, just thought you should know that" ("Provo piacere
nel far male a piccoli animali. Volevo solo che lo sapessi.");
invia un SMS al numero breve 73822 con il testo "text": il numero è attivo negli Stati Uniti e
viene utilizzato dalla PETA affinché gli utenti possano iscriversi all'elenco dei destinatari
degli SMS dell'organizzazione.
Attacchi nella rete di società e grandi organizzazioni
Lo spionaggio industriale e l'attività di ricognizione, condotta in rete da diversi Paesi del mondo,
stanno rientrando gradualmente nel numero dei problemi più ampiamente trattati nel settore della
sicurezza informatica, rimpiazzando in tal senso la tradizionale cybercriminalità. Tuttavia, la novità
della tematica e la sua relativa impenetrabilità alle ampie masse fanno sì che l'argomento riceva da
parte di molte pubblicazioni un'attenzione caratterizzata da un velo indesiderato di sensazionalità.
In agosto la comunità IT è stata messa in subbuglio dalla notizia comunicata da McAfee (comprata
un anno fa da Intel) secondo la quale quest'ultima aveva scoperto il maggior attacco cibernetico
della storia, perpetrato per oltre cinque anni ed esteso a numerose organizzazioni in diversi Paesi,
dagli appaltatori militari del Ministero della Difesa degli Stati Uniti al Comitato sportivo del
Vietnam. L'attacco è stato subito battezzato "Shady Rat". Non ci sarebbe stato nulla di male se la
pubblicazione di questa informazione non si fosse sorprendentemente sovrapposta all'apertura
della conferenza BlackHat a Las Vegas e se non le fosse stato dedicato un articolo speciale nella
rivista “Vanity Fair”. Bisogna riconoscere che la pubblicazione di materiale esclusivo su una
minaccia alla sicurezza nazionale in un giornale di moda appare un modo quanto mai insolito per
l'industria della sicurezza di informare il grande pubblico di problemi appena individuati.
Ma i dettagli del contenuto della comunicazione di McAfee erano ancora più sorprendenti. In primo
luogo, il server dei cybercriminali "scoperto dai ricercatori" era già noto da alcuni mesi ai
ricercatori di molte aziende produttrici di antivirus. In secondo luogo, al momento della
pubblicazione il server continuava a funzionare e conteneva in accesso pubblico praticamente tutte
le informazioni sulla base delle quali MacAfee ha redatto la relazione. In terzo luogo i programmi di
spionaggio ricercati, per mezzo dei quali si perpetrava il presunto attacco di massa più sofisticato
della storia, vengono già individuati da molti anni da numerosi antivirus con semplici metodi
euristici. Infine, oltre ai punti elencati, ce ne sono altri che hanno generato molti interrogativi in
merito alla relazione, che sono stati evidenziati pubblicamente dagli esperti del settore, tra cui
anche Kaspersky Lab.
Le indagini da noi compiute ci consentono di affermare che Shady Rat è ben lungi dall'essere il
maggiore, il più persistente e il più sofisticato attacco della storia. Inoltre riteniamo inammissibile
che si pubblichino informazioni in merito a qualsivoglia attacco, senza descrivere tutti i componenti
e le tecnologie utilizzate, poiché la pubblicazione di informazioni così limitate non dà la possibilità
agli specialisti di prendere i necessari provvedimenti atti a proteggere le proprie risorse.
Ci si deve porre con responsabilità ancora maggiore nei confronti del problema della pubblicazione
di informazioni quando ciò riguarda i cosiddetti "APT" (Advanced Persistent Threat), che
attualmente stanno diventando nel settore dell'industria e nei mass media una delle parole
preferite insieme a "cyberguerra" e "cyber-armi". Si deve evitare il rischio che i termini, usati a
sproposito, perdano di significato. D'altronde la questione terminologica assume un'importanza
secondaria quando si tratta veramente di casi di spionaggio industriale o quando intervengono i
servizi speciali. In tali casi è molto più importante evitare che l'eccessiva attenzione dedicata
all'argomento e la pubblicazione non coordinata di qualsiasi informazione possano mandare a
monte le indagini in corso e recare alle vittime degli attacchi un danno ancora maggiore di quello
già subito.
I crack di maggiore risonanza del mese
Agosto si è dimostrato davvero ricco di violazioni di notevole rilievo. Gli attacchi alle società e alle
strutture statali sono in corso in tutto il mondo e, a differenza degli attacchi degli "invisibili",
quest'anno molti casi sono stati causati dalle azioni di gruppi di hacker pubblici, quali
AntiSec/Anonimous. Con sempre maggiore frequenza gli attacchi vengono utilizzati come
strumento di guerra politica. Tutti questi casi hanno ricevuto molta risonanza nella stampa ed è
proprio questa pubblicità che ricercano gli "hacker". Così, sullo sfondo degli eventi di quest'anno, le
violazioni di agosto non hanno purtroppo destato particolare stupore.
Nel periodo considerato dal presente report, sono rimasti vittime degli hacker la cyberpolizia
italiana, una serie di società che collaborano con gli organi di tutela giuridica degli Stati Uniti e
anche l'appaltatore militare Vanguard, che si occupa di sistemi di comunicazione per incarico del
Ministero della Difesa americano. Questi attacchi sono una vendetta da parte degli hacker per
l'arresto di una serie di membri dei loro gruppi. Sono diventati pubblicamente accessibili gigabyte
di informazioni private, tra cui nel caso della cyberpolizia italiana, sono stati resi pubblici anche
documenti che pare appartenessero originariamente all'Ambasciata indiana in Russia.
Più tardi negli Stati Uniti gli hacker hanno attaccato il server del sistema dei trasporti di San
Francisco, rubando i dati personali di 2 mila passeggeri che sono stati poi pubblicati. Tra le
violazioni politiche va menzionato il defacing dei siti governativi in Siria e in Libia, svoltosi sullo
sfondo degli scontri civili in corso in questi Paesi.
Classifica di agosto
TOP 10 dei malware in Internet
1
2
3
4
5
6
7
8
9
10
Blocked
45643803
Trojan.Script.Iframer
1677006
Trojan.Script.Generic
1230615
Trojan.Win32.Generic
758315
Exploit.Script.Generic
671473
AdWare.Win32.Shopper.ee
462860
Trojan-Downloader.Script.Generic
459647
Trojan.JS.Popupper.aw
431959
AdWare.Win32.Eorezo.heur
430763
WebToolbar.Win32.MyWebSearch.gen
270739
72,76%
2,67%
1,96%
1,21%
1,09%
1,07%
0,74%
0,73%
0,69%
0,69%
TOP 10 dei Paesi nelle cui risorse sono stati ospitati programmi nocivi
1
2
3
4
5
6
7
8
9
Stati Uniti
Federazione russa
Germania
Paesi Bassi
Regno Unito
Ucraina
Cina
Isole Vergini, britanniche
Romania
26,31%
16,48%
9,12%
7,40%
6,09%
5,27%
3,98%
3,07%
1,97%
1,94%
10 Francia
TOP 10 degli hosting dannosi
ak.imgfarm.com
ru-download.in
literedirect.com
72.51.44.90
go-download.in
h1.ripway.com
updateversionnew.info
lxtraffic.com
ak.exe.imgfarm.com
1
2
3
4
5
6
7
8
9
10
10,17%
8,64%
7,84%
7,01%
6,86%
4,75%
4,68%
4,36%
4,18%
dl1.mobimoba.ru
3,62%
TOP 10 delle aree di dominio nocive
1
com
30618963
2
ru
10474116
3
net
3465349
4
in
2466494
5
info
2052925
6
org
1982282
7
tv
827236
8
cc
819225
9
cz.cc
463536
tk
329739
10
10 Paesi nei quali gli utenti sono maggiormente esposti al rischio di infezione mediante
Internet
1
2
3
4
5
6
7
8
9
10
Russia
Oman
Armenia
Bielorussia
Iraq
Azerbaigian
Kazakistan
Ucraina
Corea (Repubblica di)
Sudan
35,82%
32,67%
31,16%
31,05%
30,37%
29,97%
28,31%
27,57%
27,23%
26,01%
TOP 10 dei Paesi a seconda del livello di individuazione FakeAV
1
2
3
4
5
6
7
8
9
10
Stati Uniti
29,26%
Federazione russa
9,60%
India
6,31%
Germania
3,95%
Regno Unito
3,90%
Vietnam
3,75%
Spagna
2,88%
Canada
2,81%
Messico
2,47%
Ucraina
2,21%