Pagine

Visualizzazioni totali

martedì 23 febbraio 2010

La botnet Kneber dietro il maxi attacco della scorsa settimana


La scorsa settimana aveva destato interesse la notizia del maxi attacco portato da alcuni cracker a 2.500 aziende di ben 196 paesi diversi, un attacco su scala mondiale che aveva coinvolto decine di migliaia di computer. Un evento che non poteva quindi passare inosservato agli occhi degli esperti, tanto che sono stati in molti a studiare nel dettaglio l’attacco, come il sito ZDNet che ha offerto una panoramica della botnet Kneber, mettendo in luce diversi aspetti di quanto accaduto alcuni giorni addietro. Innanzitutto l’attenzione passa al nome, spiegando come la dicitura “botnet Kneber” sia dovuta all’indirizzo email HilaryKneber@yahoo.com, ovvero l’indirizzo usato per registrare il dominio da cui è partita la campagna, basata sull’utilizzo di Zeus, un trojan già conosciuto nell’ambiente, per scardinare la sicurezza dei sistemi colpiti.
Ad essere coinvolti pare siano stati alcuni esperti cybercriminali che hanno usato una versione di Zeus al fine di raccogliere password d’accesso ai vari servizi bancari online, a social network e a caselle di posta elettronica tanto che, secondo l’azienda di Herndon che ha analizzato i dati, sono stati 68.000 i dati d’accesso di sistemi commerciali, nonché alcuni governativi, ad essere stati rubati. E proprio il fatto che i criminali si siano concentrati non solo su credenziali di servizi potenzialmente allettanti come quelli di e-banking ma anche su credenziali dei più comuni siti di social network è un punto di un certo interesse, mostrando ancora una volta come questi portali siano sempre più nel mirino di malintenzionati a causa dell’alto volume di traffico che riescono a far confluire. Qualche dettaglio in più su Zeus è stato fornito anche da Computer Associates. Secondo Rossano Ferraris, Research Engineer della Internet Security Business Unit di CA:
Questa nuova variante presenta le tipiche caratteristiche di un malware bot: riceve comandi e controlla le informazioni attraverso un server. Ne consegue che l’eseguibile - ovvero il malware-bot - viene avviato sul sistema vittima attraverso spam (social engineering) o vulnerabilità del sistema. Una volta installato, scarica un file di configurazione dal server Command & Control che istruisce il malware su quali informazioni catturare e inviare agli hacker. Periodicamente il malware-bot invia le informazioni catturate al server hacker e inoltre si aggiorna automaticamente scaricando le nuove configurazioni che in realtà si traducono in nuove istruzioni da parte dell’hacker su quello che il bot deve svolgere all’interno del computer compromesso.

Infine, uno sguardo ai sistemi operativi più colpiti. Sui 75.000 PC controllati finora dal bot Kneber, la maggior parte era funzionante su Windows XP Professional SP2, seguito dall’analoga versione, ma con SP3, e dalla versione Home SP3, in coda invece Vista Home Edition, che è risultato il sistema operativo meno interessato dall’attacco.
Come Proteggervi dai BOT
Per difendersi dai bot nocivi SEGUIRE I SEGUENTI CONSIGLI:
- Installare software per la sicurezza di qualità (antivirus,antispyware)
- Configurare le impostazioni del software per l'aggiornamento automatico
- Aumentare le impostazioni di sicurezza del browser
- Limitare i diritti utente durante le connessioni on-line
- Non fare mai clic su allegati a meno che non sia possibile verificarne l'origine, o meglio
ancora non aprire neppure gli allegati di cui conoscete l'origine nel caso gli stessi non siano attesi (esistono malware che inoltrano allegati virus con l'indirizzo di email di un mittente
conosciuto)
- Controllare che al sistema siano state applicate le patch relative agli aggiornamenti
di sistema più recenti di Microsoft o altro sistema operativo installato
- Configurare le impostazioni della sicurezza del computer per l'aggiornamento automatico, in
modo da garantire sempre la disponibilità delle patch di sistema più recenti