VoIP and Hacking | Consulenza Documentazione

Non si rivela esattamente così semplicistico come era stato inizialmente qualificato, l’attacco DDOS che ha colpito la scorsa settimana importanti siti istituzionali e commerciali negli USA e in Corea del Sud.

Bkis Security, una compagnia con base ad Hanoi, e che si occupa di sicurezza, ha condotto una interessante analisi che quantifica in 166,908 i PCs coinvolti nella botnet responsabile dell’attacco. Relativamente alla distribuzione geografica, i bots risultano appartenenti a 74 differenti nazioni.
I comandi sono stati instradati attraverso otto servers di controllo, facenti capo ad un master server localizzato in Gran Bretagna, e dotato, per inciso, di sistema operativo Windows Server 2003.

Ogni zombie è stato istruito per connettersi ogni tre minuti ad uno degli otto servers scelto a caso, per istruzioni relative al successivo sito da attaccare.
Le istruzioni risultavano steganografate in files gif inviati a ciascun bot.

Il fatto poi che il master server si trovasse in Gran Bretagna (l’indirizzo IP del server appartiene all’ ISP: GLOBAL-DIGITAL-BROADCAST) non significa certo che gli attaccanti fossero inglesi, anche se occorre riconoscere che questa ipotesi ha pari dignità di quelle che regolarmente attribuiscono alla Cina la responsabilità di quasi tutte le minaccie informatiche di questo mondo, se originate dal suo territorio.
Il master server stesso potrebbe essere una macchina compromessa e sotto il controllo di una persona situata in qualsiasi altra parte del pianeta.

Non tutti, nel settore della information security, concordano completamente con l’analisi della compagnia vietnamita:
Avi Chesla, di Radware, sospetta che fossero diverse le botnets coinvolte in un attacco coordinato tramite la tecnica conosciuta come “fast flux”, normalmente utilizzata dalle botnets più recenti per rendersi più resistenti alla rilevazione ed alle contromisure.

Quasi ad assolvere i Nord Coreani, Jayson E. Street, un consulente per il cyber warfare in Netragard, afferma che gli attacchi, rozzi e sofisticati allo stesso tempo, siano stati sì probabilmente opera di una qualche nazione interessata a sperimentare tecniche di denial-of-service, ma che la Corea del Nord semplicemente non dispone della sofisticazione necessaria a condurre un attacco come questo, dove una botnet fiorisce nell’arco di una notte per attaccare obiettivi molto specifici, con alta probabilità di successo.

Personalmente trovo osservazioni del genere un po’ odiose e velatamente razziste.
L’osservazione si basa comunque sulla presenza degli imprevedibili componenti rilevati da Symantec nel payload, programmi di cancellazione files e distruzione del Master Boot.

Symantec è stata anche la prima a rivelare che la fase preparatoria dell’attacco, necessaria ad assemblare un contingente di PCs bots, si è svolta utilizzando una variante del virus MyDoom, vecchio di 5 anni, forgiata in modo da eludere il rilevamento da parte della maggior parte degli antivirus. Gli attaccanti hanno poi attentamente puntato a siti web governativi e commerciali limitati ad offrire informazioni al pubblico; in altre parole, siti non verosimilmente così protetti da attacchi dDos come, ad esempio, qualsiasi sito destinato a condurre transazioni finanziarie o collezionare dati personali sensibili.

Street crede che si tratti di un primo esempio di alto profilo di quello che descrive come un attacco “stalking horse” — in cui l’autore stia attentamente e segretamente testando tecniche di attacco. Ipotizza inoltre che l’autore possa anche essere un mercenario che intende dimostrare le proprie capacità prima di vendere i propri servigi al miglior offerente.

Gli insoliti componenti per la cancellazione di files e per la distruzione del Master Boot sarebbero indizi a favore della ipotesi “stalking horse”. Street è convinto che l’ attaccante/sperimentatore stia meticolosamente coprendo le proprie traccie.
Senza indicare esplicitamente alcun paese, Street ha osservato che Russia e Cina sono note per il loro coinvolgimento nel warfare, ma che per quanto riguarda quest’ultima, il coinvolgimento è poco probabile a causa di un fattore molto particolare, cioè l’anno corrente:
molti hackers (e non) cinesi pensano che sia meglio tenere un profilo basso a causa della convergenza di portentosi anniversari: il 60mo anniversario della rivoluzione di Mao Tse Tung; il 50mo anniversario dell’ esilio del Dalai Lama dal Tibet; il 20mo anniversario del massaco di piazza Tiananmen; ed il 10mo anniversario dello scioglimento del movimento spiritual Falun Gong.
Non si tratta di superstizione, è piuttosto un fatto culturale.

E per quanto riguarda i Russi?
Street ipotizza che si possa tracciare un parallelo con gli attacchi dDos che hanno colpito i sistemi IT dell’ Estonia nel 2007. Quello che è capitato allora è stato una specie di attacco stalking horse — se la motivazione alla base era quella di testare tecniche per paralizzare transazioni finanziarie e sistemi di comunicazione in una nazione altamente dipendente dalla connettività Internet come l’ Estonia, una delle nazioni maggiormente cablate al mondo. Quale migliore palestra ?

Rimane poi molto difficile spiegarsi, se non in questa visione, la presenza degli insoliti componenti autodistruttivi installati nei bots, con la elaborata sequenza di istruzioni rivolta a cancellare tutti i files di lavoro associati ad applicazioni per ufficio, business e sviluppo, e successivamente modificare il Master Boot Record in modo da rendere il PC inaccessibile al successivo reboot.

In pratica, alcuni dei PCs coinvolti negli attacchi dDos contro i siti sudcoreani hanno iniziato a far sparire files di lavoro — e da ultimo ad autodistruggersi!
E molto arduo poi immaginare motivazioni plausibili per questo comportamento apparentemente così illogico:
Perchè appropriarsi di un PC, usarlo per un semplice attacco dDos, e quindi annientarlo? Qualsiasi botmaster manterrebbe il bot dormiente, per ridestarlo al momento opportuno e utilizzarlo ancora per altre attività criminali, come attaccare altri siti, diffondere spam, diffondere malware ecc.
E perché poi preoccuparsi di cancellare i file di lavoro dell’utente? La maggior parte dei cyber criminali che distribuiscono programmi come Dozer, in grado di corrompere i files utente, lo fanno allo scopo di estorcere denaro alla vittima;  in cambio di un pagamento cash l’ attaccante ripristina l’ accesso ai files.
Ma qui non vi è mai stata alcuna richiesta. Invece, appena l’utente tenta un riavvio, di fatto distrugge il master boot record.

Send post as PDF to