le botnet in italia

LE BOTNET IN ITALIA
SISTEMI MOBILI E PC
INCONSAPEVOLI STRUMENTI
DI ATTACCO
Marco Bozzetti, OAI founder
normative. Al contrario, come dimostra anche GOZ,
Le recenti notizie della scoperta della rete mondiai criminali informatici operano a livello mondiale e
le di computer ‘zombie’ chiamata GameOver Zeus
troppo spesso con un’elevata probabilità di rima(GOZ) hanno riportato al centro dell’attenzione il
nere impuniti, proprio sfruttando le difficoltà nella
problema delle botnet, che in questa rubrica già
reale cooperazione tra le poera stata trattata circa due anni
lizie e le istituzioni giudiziarie.
fa. La notizia su GOZ, ampiaLe più autorevoli ricerche inmente ripresa anche da orgaternazionali evidenziano come
ni di informazione non tecniLa botnet GZO
l’Italia sia da tempo un paeci, riguarda la scoperta di una
è stata scoperta grazie
se con numerosissimi zombie,
botnet mondiale che in Italia
al coordinamento
usati come basi di attacchi versi stima abbia infettato circa
dell’European Cyber Crime
so obiettivi di altri paesi.
diecimila computer e nel reCentre di Europol
sto del mondo tra 500.000 e
tra le polizie di diversi Paesi,
1 milione di sistemi, in particoCome è fatta la GZO
a cui partecipa anche l’Italia
lare in Ucraina, Regno Unito,
Approfondiamo tecnicamente
Germania, Giappone, Francia,
come operava la botnet GZO,
Olanda e Canada, con un danbasata, come dice il nome, sul
no economico che potrebbe aggirarsi sui 100 micodice maligno GameOver Zeus e sul ransomware
lioni di euro. L’FBI ha identificato in un trentenne
Cryptolocker. Ricordiamo che in informatica con il
della Federazione Russa, che è attualmente al vertermine zombie si identifica un computer, server,
tice dei cyber criminali più ricercati, il leader degli
pc o sistema mobile, infettato da codici maligni e
attaccanti che hanno realizzato GZO.
collegato a internet. Completamente all’insaputa
È importante evidenziare come la botnet GZO sia
dell’utente, uno zombie è sotto il controllo di un
stata scoperta grazie al coordinamento dell’Eurosistema centrale, chiamato C&C, Command and
pean Cyber Crime Centre di Europol tra le polizie
Control, che ne prende il controllo per attivare spedei diversi paesi coinvolti, in Italia la Polizia Postale
cifiche attività malevoli. Tali attività malevoli non
e delle Comunicazioni.
sono normalmente rivolte allo stesso zombie ma
Uno dei problemi nella repressione del cybercriad altri obbiettivi target: lo zombie è in pratica una
me risiede infatti nella collaborazione dei diversi
base e uno strumento di attacco guidato dal C&C.
organi di polizia delle varie nazioni, tenendo conto
Più sistemi zombie sotto il controllo di un medesianche dei diversi ambiti legislativi e delle diverse
mo C&C costituiscono una botnet, che può essere
»
66
luglio-agosto 2014
»
© Gunnar Assmy - fotolia.com
costituita da migliaia di inconsapevoli unità che,
contemporaneamente, sotto il comando di C&C,
sferrano attacchi informatici.
I codici più utilizzati
I codici maligni usati negli zombie possono essere molteplici e cambiare nel tempo: tipici attacchi
riguardano spamming, phishing e saturazione di risorse, il così detto DDoS (distribuited denial of service). Nel caso GZO
il codice maligno usato è una versione
del ben noto ‘cavallo di troia’ Zeus per
frodi in ambito bancario - finanziario
chiamata GameOver Zeus: esso realizza comunicazioni peer-to-peer crittate tra i vari nodi e zombie con sistemi
operativi Windows, utilizzando vari componenti
di Zeus. Quest’ultimo, sfruttando browser con vulnerabilità, sottrae informazioni finanziarie inserite
nella transazione, tipicamente di home o corporate
banking, tramite la cattura dei caratteri digitati dalla tastiera (key logging), oppure tramite la cattura
dei dati inseriti nei form di log-in e delle transazioni via browser (tecnica chiamata ‘form grapping’).
Il malware GameOver Zeus è in grado di attivare
anche il ransomware crittografico Cryptolocker,
che cripta dati e file sul pc oggetto dell’attacco e
lo blocca fino al pagamento di un riscatto.
Come scoprire se il proprio sistema ICT
è uno zombie
L’individuazione di una botnet, in particolare dei
nodi che operano come C&C, è attività da specialisti ed esula dagli scopi di questa rubrica. Invece
è importante saper scoprire se i propri pc, tablet e
smartphone sono degli zombie.
Per verificarlo occorre effettuare periodicamente
almeno i seguenti controlli, tenendo presente che
essi potrebbero non essere sufficienti:
- attivare e aggiornare sistematicamente e automaticamente programmi antivirus, anti adware,
anti spyware, anti rootkit: alcune soluzioni commerciali sul mercato già integrano tutte queste
funzionalità di protezione;
far questo sui sistemi Windows attivare la gestione (basta schiacciare contemporaneamente i tasti
Alt Control Canc) e verificare i dati prestazionali
forniti;
- verificare tramite il pannello di controllo che sul
vostro sistema non siano stati installati dei programmi non voluti, soprattutto se nascosti; in caso
affermativo, disinstallarli e cancellarli sempre tramite il pannello di controllo;
- verificare che non ci siano URL a voi sconosciute
nell’elenco dei siti preferiti del browser.
Qualora sorgesse il dubbio di essere stati infettati
da Zeus, è opportuno attivare un programma per
identificare e rimuovere ogni malware del ceppo
Zeus, quale ad esempio il Zeus Trojan Remover.
Marco Bozzetti
[email protected]
- aggiornare sistematicamente le patch dei browser
e installare e usare, se possibile, le loro ultime
versioni;
- verificare che le prestazioni del sistema ICT in
esame non siano complessivamente peggiorate,
senza avere fatto alcuna significativa modifica
allo stesso (numero utenti non aumentato, nessun
nuovo programma installato, hard disk non vicino
alla saturazione, idem per CPU e RAM, ecc.); per
luglio-agosto 2014
67