Classifica malware - agosto 2011

Transcript

1 Classifica malware - agosto 2011 Aleksandr Gostev Agosto in cifre Nel corso del mese nei computer degli utenti dei prodotti Kaspersky Lab: sono stati respinti attacchi di rete; sono stati bloccati tentativi di infezione via Internet; sono stati individuati e neutralizzati malware (tentativi di infezione locale); sono state registrate attivazioni di analisi euristiche. Per l'industria della sicurezza informatica, agosto è tradizionalmente uno dei mesi più caldi, nonostante sia il periodo delle vacanze estive. In agosto negli Stati Uniti si tengono due delle più importanti conferenze nel settore della sicurezza: BlackHat e Defcon. Grazie alla loro ampia risonanza, queste conferenze vengono sfruttate per comunicare i risultati delle indagini più attendibili e, di fatto, non solo traggono le somme dell'anno precedente, ma delineano anche i nuovi orizzonti per il prossimo futuro. Nell'ambito di queste conferenze emergono i nuovi metodi con cui si conducono gli attacchi e diverse tecnologie di cracking, alcune delle quali purtroppo trovano successivamente applicazione anche nei programmi malevoli. Inoltre, il periodo delle vacanze estive crea altri problemi sia per gli utenti privati che per le organizzazioni: in ferie, infatti, le persone tendono a servirsi con maggiore frequenza degli accessi alla rete forniti da Internet caffè, punti gratuiti Wi-Fi, aeroporti ecc., trovandosi così al di fuori dei confini della loro consueta "zona protetta" e rischiando di diventare quindi vittime dei cybercriminali. Nuovi programmi e tecnologie dei cybercriminali Che cosa è apparso di nuovo "sull'altra linea del fronte" in agosto? Quali nuovi malware e tecnologie hanno utilizzato i cybercriminali nel mese appena trascorso? Ice IX, il figlio illegittimo di Zeus Il trojan Zeus (Trojan-Spy.Win32.Zbot) è già da qualche anno la minaccia più diffusa per gli utenti dei servizi di online banking. Per il numero di casi che lo hanno visto partecipe e i danni da lui apportati, questo trojan può essere tranquillamente considerato il "capo dell'olimpo" dei cybercriminali. Attorno a Zeus si è sviluppato un intero settore di cybercriminalità, per lo più in lingua russa. Decine di gruppi lo utilizzano o utilizzano i risultati della sua attività per condurre le proprie azioni criminali. L'anno scorso è trapelata un'informazione secondo la quale il creatore di Zeus avrebbe venduto la sua opera a un altro programmatore di virus, l'autore del trojan SpyEye, e che al posto di due progetti concorrenti se ne sarebbe dovuto creare uno nel quale sarebbero confluite tecnologie migliori delle precedenti. Di fatto, le nuove versioni di SpyEye, che vengono regolarmente individuate, si presentano come eredi del vecchio Zeus. Ma, contemporaneamente a questa "fusione", si è avuta una fuga di codici iniziali di Zeus che sono diventati così accessibili a qualsiasi malintenzionato. Se si considera che il creatore di SpyEye vende i suoi prodotti sul mercato della cybercriminalità per alcune migliaia di dollari, appare evidente che

2 ci sono anche persone non disposte a pagarlo e che creano quindi i propri cloni basati sui medesimi codici iniziali. In agosto uno di questi cloni ha raggiunto una diffusione piuttosto ampia e ha attirato l'attenzione degli esperti del settore. Vale la pena sottolineare che questo trojan è apparso in realtà molto prima, già nella primavera di quest'anno, ma ha così per dire raggiunto il successo presso i cybercriminali solo in estate. Questa nuova varietà è stata battezzata dal suo autore "Ice IX" e viene venduta al prezzo di dollari USA. Come per Zeus e SpyEye, anche in questo caso abbiamo a che fare con l'opera di cybercriminali di lingua russa. Una delle più preoccupanti novità presenti in Ice IX è il modulo Web modificato di controllo della botnet che consente ai cybercriminali di sfruttare piattaforme di hosting "legali" anziché utilizzare i server bulletproof, curati dai cybercriminali. Questa modifica consente agli operatori Ice IX di evitare i costi elevati del bulletproof hosting service. Nell'ambiente dei cybercriminali la pratica di "prendere in prestito", o per meglio dire "rubare", codici altrui è piuttosto consueta. La comparsa di Ice IX, che non solo è in concorrenza con SpyEye per quanto riguarda le sue funzioni, ma abbassa anche notevolmente i prezzi di simili trojan, porterà nel prossimo futuro alla comparsa di nuovi "figli illegittimi" di Zeus e all'aumento del numero di attacchi rivolti agli utenti dei sistemi di online banking. Bitcoin e programmi nocivi Quest'estate il sistema di moneta virtuale Bitcoin ha attirato l'attenzione massiccia non solo degli utenti, ma anche dei cybercriminali. Questo sistema di "generazione di valuta", che si basa sullo sfruttamento della potenza di calcolo dei computer, si è trasformato in un metodo per realizzare guadagni illegali, grazie anche alla forte anonimità che lo caratterizza. La quantità di "moneta" generata dipende dalla potenza del computer dell'utente. Quanti più sono i computer ai quali l'utente ha accesso, tanto maggiore è il potenziale guadagno. Dopo una fase abbastanza rapida di attacchi rivolti a sottrarre agli utenti i loro portafogli bitcoin, i cybercriminali hanno proseguito il loro classico percorso approdando alle botnet. Già in giugno abbiamo individuato il primo trojan (Trojan.NSIS.Miner.a) che, a insaputa dell'utente del computer infetto, generava bitcoin. Questo evento ha segnato l'inizio della nostra collaborazione con una serie di importanti pool bitcoin (server che conservano le informazioni relative ai partecipanti alla rete e ai loro account), permettendoci di porre fine all'attività di una serie di botnet analoghe. L'inizio dell'opposizione dell'industria degli antivirus ai cybercriminali in questo nuovo settore ha portato alla comparsa di nuovi tipi di botnet bitcoin. In agosto tra le nuove tecnologie utilizzate si è registrato l'utilizzo di Twitter, delle reti P2P e dei proxy. Per quanto riguarda la prima di queste tecnologie, fondamentalmente il bot si rivolge all'account del social network Twitter, dal quale riceve i comandi depositati dal proprietario della botnet. Dall'account il bot scarica il programma di generazione e l'informazione relativa al pool bitcoin con il quale deve lavorare. Nuovo non è l'utilizzo di Twitter come centro di controllo della botnet, bensì il suo impiego in relazione al sistema bitcoin. Neppure le botnet P2P costituiscono una novità assoluta, ma il botnet P2P Trojan.Win32.Miner.h, individuato dai nostri esperti in agosto, secondo le nostre stime conta circa 40 mila indirizzi pubblici IP diversi. Se si considera ora che la maggior parte dei computer è coperta da firewall e altre protezioni, il numero reale dei computer infetti potrebbe essere decisamente maggiore. Il bot installa subito nel sistema tre generatori ("miner") Bitcoin: Ufasoft miner, RCP miner e Phoenix miner.

3 Le due tecnologie precedentemente descritte consentono ai cybercriminali di supportare meglio la capacità lavorativa della botnet e vengono sfruttate come misure per contrastare l'azione delle aziende produttrici di antivirus che, se si utilizzasse un unico centro di controllo della botnet, potrebbero bloccarne il funzionamento. A questa minaccia sono esposti anche gli stessi account dei cybercriminali dei pool bitcoin che possono essere cancellati dai proprietari dei server, in lotta continua contro i "generatori" illegali. In agosto abbiamo scoperto che una delle maggiori botnet ha iniziato non solo a sfruttare la sua potenza per generare bitcoin, ma ha anche cominciato a sfruttare lo schema di occultamento degli account reali. A tale scopo i proprietari della botnet hanno creato uno speciale proxy server con il quale interagiscono i computer infetti, poi le loro richieste vengono inoltrate a un pool bitcoin sconosciuto. Dall'analisi del codice dei bot è impossibile scoprire con quale pool lavori la botnet e quindi bloccare gli account fraudolenti. L'unica maniera per bloccare l'attività criminale in queste circostanze è ottenere un accesso totale al proxy server. In tutto alla fine di agosto siamo riusciti a individuare 35 programmi nocivi diversi che in un modo o nell'altro operano con il sistema bitcoin. Worm di accesso remoto Di un certo interesse è stato il net worm Morto che si è andato diffondendo attivamente nella seconda metà di agosto. A differenza della maggior parte dei suoi predecessori, particolarmente vistosi negli ultimi anni, questo worm non sfrutta nessuna vulnerabilità per moltiplicarsi, ma, fatto senza precedenti, per diffondersi sfrutta il servizio Windows RDP. Questo servizio si utilizza per concedere l'accesso remoto alla scrivania di Windows. Il worm prova fondamentalmente diverse combinazioni per ottenere la password di accesso. Secondo le primissime stime, attualmente il numero di computer infettati da questo worm in tutto il mondo si aggira intorno ad alcune decine di migliaia. Il pericolo principale risiede nel fatto che i cybercriminali hanno la possibilità di controllare in remoto i computer infetti, poiché il worm contiene una funzionalità botnet e interagisce con alcuni server di controllo. Fondamentalmente, inoltre, la botnet è destinata a condurre attacchi DDoS. Attacchi a singoli utenti: minacce mobili Poco più di un anno fa (all'inizio dell'agosto 2010) è stato individuato ( il primo malware per il sistema operativo Android: il trojan SMS FakePlayer. Dal momento in cui è apparso questo malware la situazione mondiale dei programmi dannosi è cambiata in maniera notevole, sia per quanto riguarda le minacce mobili in generale, sia per quanto riguarda Android nello specifico. Meno di un anno fa il numero dei malware per Android ha raggiunto quello dei programmi nocivi per Symbian (il primo malware per il sistema operativo Symbian ha fatto la sua comparsa nel 2004). Al giorno d'oggi i malware per Android costituiscono circa il 24% di tutti i programmi nocivi per le piattaforme mobili. Dalla comparsa di FakePlayer abbiamo individuato 628 varianti di diversi programmi nocivi per Android.

4 Distribuzione per piattaforme dei malware mobili Se si considera il numero complessivo dei malware per smartphone, dal al , l'85% è destinato ad Android. Oggi il 99% dei malware per piattaforme mobili da noi individuati è costituito da programmi dannosi che in un modo o nell'altro perseguono un unico scopo: ottenere direttamente o indirettamente degli introiti illegali. In agosto nella moltitudine di questi tipi di programmi si è nettamente distinto il trojan Nickspy, la cui principale caratteristica è la capacità di registrare tutte le telefonate del proprietario del dispositivo infettato in file audio e di caricare questi ultimi sul server remoto del cybercriminale. Una delle ultime varianti di questo trojan, mascherata da applicazione del social network Google+, è in grado di ricevere senza dare nell'occhio le telefonate in entrata effettuate dal numero di telefono del cybercriminale, scritto nel file di configurazione del malware. Quando il telefono infetto, a insaputa del suo proprietario, riceve tali chiamate, il cybercriminale può ascoltare tutto ciò che accade nei paraggi del dispositivo infetto, tra cui anche le conversazioni dell'utente. Inoltre al trojan "interessano" anche i messaggi, le informazioni sulle chiamate e anche le coordinate GPS. Anche tutti questi dati vengono inviati al server remoto del cybercriminale. I malware "non commercializzati" per i dispositivi mobili si incontrano al giorno d'oggi sempre più di rado, sebbene tra loro si incontrino a volte esemplari decisamente curiosi. In agosto è stato individuato il trojan Dogwar, che a giudicare dalle apparenze, è stato creato da persone (o da una persona) che simpatizzano con l'organizzazione PETA, attiva nel campo della tutela dei diritti degli animali. Presa la versione beta del gioco Dog Wars, il cybercriminale, dopo aver cambiato nell'icona del programma la parola BETA in PETA, vi ha inserito un codice nocivo che: invia a tutti gli utenti dell'elenco dei contatti dell'apparecchio infettato un SMS con il testo "I take pleasure in hurting small animals, just thought you should know that" ("Provo piacere nel far male a piccoli animali. Volevo solo che lo sapessi."); invia un SMS al numero breve con il testo "text": il numero è attivo negli Stati Uniti e viene utilizzato dalla PETA affinché gli utenti possano iscriversi all'elenco dei destinatari degli SMS dell'organizzazione.

5 Attacchi nella rete di società e grandi organizzazioni Lo spionaggio industriale e l'attività di ricognizione, condotta in rete da diversi Paesi del mondo, stanno rientrando gradualmente nel numero dei problemi più ampiamente trattati nel settore della sicurezza informatica, rimpiazzando in tal senso la tradizionale cybercriminalità. Tuttavia, la novità della tematica e la sua relativa impenetrabilità alle ampie masse fanno sì che l'argomento riceva da parte di molte pubblicazioni un'attenzione caratterizzata da un velo indesiderato di sensazionalità. In agosto la comunità IT è stata messa in subbuglio dalla notizia comunicata da McAfee (comprata un anno fa da Intel) secondo la quale quest'ultima aveva scoperto il maggior attacco cibernetico della storia, perpetrato per oltre cinque anni ed esteso a numerose organizzazioni in diversi Paesi, dagli appaltatori militari del Ministero della Difesa degli Stati Uniti al Comitato sportivo del Vietnam. L'attacco è stato subito battezzato "Shady Rat". Non ci sarebbe stato nulla di male se la pubblicazione di questa informazione non si fosse sorprendentemente sovrapposta all'apertura della conferenza BlackHat a Las Vegas e se non le fosse stato dedicato un articolo speciale nella rivista Vanity Fair. Bisogna riconoscere che la pubblicazione di materiale esclusivo su una minaccia alla sicurezza nazionale in un giornale di moda appare un modo quanto mai insolito per l'industria della sicurezza di informare il grande pubblico di problemi appena individuati. Ma i dettagli del contenuto della comunicazione di McAfee erano ancora più sorprendenti. In primo luogo, il server dei cybercriminali "scoperto dai ricercatori" era già noto da alcuni mesi ai ricercatori di molte aziende produttrici di antivirus. In secondo luogo, al momento della pubblicazione il server continuava a funzionare e conteneva in accesso pubblico praticamente tutte le informazioni sulla base delle quali MacAfee ha redatto la relazione. In terzo luogo i programmi di spionaggio ricercati, per mezzo dei quali si perpetrava il presunto attacco di massa più sofisticato della storia, vengono già individuati da molti anni da numerosi antivirus con semplici metodi euristici. Infine, oltre ai punti elencati, ce ne sono altri che hanno generato molti interrogativi in merito alla relazione, che sono stati evidenziati pubblicamente dagli esperti del settore, tra cui anche Kaspersky Lab. Le indagini da noi compiute ci consentono di affermare che Shady Rat è ben lungi dall'essere il maggiore, il più persistente e il più sofisticato attacco della storia. Inoltre riteniamo inammissibile che si pubblichino informazioni in merito a qualsivoglia attacco, senza descrivere tutti i componenti e le tecnologie utilizzate, poiché la pubblicazione di informazioni così limitate non dà la possibilità agli specialisti di prendere i necessari provvedimenti atti a proteggere le proprie risorse. Ci si deve porre con responsabilità ancora maggiore nei confronti del problema della pubblicazione di informazioni quando ciò riguarda i cosiddetti "APT" (Advanced Persistent Threat), che attualmente stanno diventando nel settore dell'industria e nei mass media una delle parole preferite insieme a "cyberguerra" e "cyber-armi". Si deve evitare il rischio che i termini, usati a sproposito, perdano di significato. D'altronde la questione terminologica assume un'importanza secondaria quando si tratta veramente di casi di spionaggio industriale o quando intervengono i servizi speciali. In tali casi è molto più importante evitare che l'eccessiva attenzione dedicata all'argomento e la pubblicazione non coordinata di qualsiasi informazione possano mandare a monte le indagini in corso e recare alle vittime degli attacchi un danno ancora maggiore di quello già subito. I crack di maggiore risonanza del mese Agosto si è dimostrato davvero ricco di violazioni di notevole rilievo. Gli attacchi alle società e alle strutture statali sono in corso in tutto il mondo e, a differenza degli attacchi degli "invisibili",

6 quest'anno molti casi sono stati causati dalle azioni di gruppi di hacker pubblici, quali AntiSec/Anonimous. Con sempre maggiore frequenza gli attacchi vengono utilizzati come strumento di guerra politica. Tutti questi casi hanno ricevuto molta risonanza nella stampa ed è proprio questa pubblicità che ricercano gli "hacker". Così, sullo sfondo degli eventi di quest'anno, le violazioni di agosto non hanno purtroppo destato particolare stupore. Nel periodo considerato dal presente report, sono rimasti vittime degli hacker la cyberpolizia italiana, una serie di società che collaborano con gli organi di tutela giuridica degli Stati Uniti e anche l'appaltatore militare Vanguard, che si occupa di sistemi di comunicazione per incarico del Ministero della Difesa americano. Questi attacchi sono una vendetta da parte degli hacker per l'arresto di una serie di membri dei loro gruppi. Sono diventati pubblicamente accessibili gigabyte di informazioni private, tra cui nel caso della cyberpolizia italiana, sono stati resi pubblici anche documenti che pare appartenessero originariamente all'ambasciata indiana in Russia. Più tardi negli Stati Uniti gli hacker hanno attaccato il server del sistema dei trasporti di San Francisco, rubando i dati personali di 2 mila passeggeri che sono stati poi pubblicati. Tra le violazioni politiche va menzionato il defacing dei siti governativi in Siria e in Libia, svoltosi sullo sfondo degli scontri civili in corso in questi Paesi. Classifica di agosto TOP 10 dei malware in Internet 1 Blocked ,76% 2 Trojan.Script.Iframer ,67% 3 Trojan.Script.Generic ,96% 4 Trojan.Win32.Generic ,21% 5 Exploit.Script.Generic ,09% 6 AdWare.Win32.Shopper.ee ,07% 7 Trojan-Downloader.Script.Generic ,74% 8 Trojan.JS.Popupper.aw ,73% 9 AdWare.Win32.Eorezo.heur ,69% 10 WebToolbar.Win32.MyWebSearch.gen ,69% TOP 10 dei Paesi nelle cui risorse sono stati ospitati programmi nocivi 1 Stati Uniti 26,31% 2 Federazione russa 16,48% 3 Germania 9,12% 4 Paesi Bassi 7,40% 5 Regno Unito 6,09% 6 Ucraina 5,27% 7 Cina 3,98% 8 Isole Vergini, britanniche 3,07% 9 Romania 1,97%

7 10 Francia 1,94% TOP 10 degli hosting dannosi 1 ak.imgfarm.com 10,17% 2 ru-download.in 8,64% 3 literedirect.com 7,84% ,01% 5 go-download.in 6,86% 6 h1.ripway.com 4,75% 7 updateversionnew.info 4,68% 8 lxtraffic.com 4,36% 9 ak.exe.imgfarm.com 4,18% 10 dl1.mobimoba.ru 3,62% TOP 10 delle aree di dominio nocive 1 com ru net in info org tv cc cz.cc tk Paesi nei quali gli utenti sono maggiormente esposti al rischio di infezione mediante Internet 1 Russia 35,82% 2 Oman 32,67% 3 Armenia 31,16% 4 Bielorussia 31,05% 5 Iraq 30,37% 6 Azerbaigian 29,97% 7 Kazakistan 28,31% 8 Ucraina 27,57% 9 Corea (Repubblica di) 27,23% 10 Sudan 26,01%

8 TOP 10 dei Paesi a seconda del livello di individuazione FakeAV 1 Stati Uniti 29,26% 2 Federazione russa 9,60% 3 India 6,31% 4 Germania 3,95% 5 Regno Unito 3,90% 6 Vietnam 3,75% 7 Spagna 2,88% 8 Canada 2,81% 9 Messico 2,47% 10 Ucraina 2,21%