Con uno sforzo globale, un nuovo tipo di worm è rallentato

Ci sono stati grandi focolai di worm informatici in passato, ma niente di simile a Conficker.

In primo luogo avvistato a novembre, il worm aveva presto infettato più computer di qualsiasi altro worm negli ultimi anni. Secondo alcune stime, ora è installato su oltre 10 milioni di PC. Ma sin dalla sua prima apparizione, è stato stranamente silenzioso. Conficker infetta i PC e si diffonde nelle reti, ma non fa altro. Potrebbe essere usato per lanciare un massiccio attacco informatico, paralizzando virtualmente qualsiasi server su Internet, o potrebbe essere affittato agli spammer per pompare miliardi su miliardi di messaggi spam. Invece, si trova lì, un massiccio motore di distruzione in attesa che qualcuno prenda la chiave.

Fino a poco tempo fa, molti ricercatori della sicurezza semplicemente non sapevano cosa stava aspettando la rete Conficker. Giovedì, tuttavia, una coalizione internazionale ha rivelato di aver adottato misure senza precedenti per mantenere il verme separato dai server di comando e controllo che potevano controllarlo. Il gruppo è composto da ricercatori di sicurezza, aziende tecnologiche, registrar di nomi di dominio che hanno unito le forze con Internet Corporation per nomi e numeri assegnati (ICANN), che supervisionano il Domain Name System di Internet.

[Ulteriori letture: Come rimuovere il malware dal tuo PC Windows]

I ricercatori hanno smontato il codice di Conficker e hanno scoperto che utilizza una nuova e complicata tecnica per telefonare a casa per nuove istruzioni. Ogni giorno, il worm genera una nuova lista di circa 250 nomi di dominio casuali come aklkanpbq.info. Quindi controlla quei domini per nuove istruzioni, verificando la loro firma crittografica per assicurarsi che siano stati creati dall'autore di Conficker.

Quando il codice di Conficker fu scremato per la prima volta, gli esperti di sicurezza aggiunsero alcuni di questi domini generati casualmente, creando quelli che sono conosciuti come sinkhole server per ricevere dati da macchine compromesse e osservare come funzionava il worm. Ma mentre l'infezione si diffondeva, iniziarono a registrare tutti i domini - quasi 2.000 a settimana - portandoli fuori circolazione prima che i criminali subissero un cambiamento. Se mai i cattivi hanno provato a registrare uno di questi domini di comando e controllo, avrebbero scoperto che erano già stati presi da un gruppo fittizio che si autodefinisce "Conficker Cabal". Il suo indirizzo? 1 Microsoft Way, Redmond Washington.

Questo è un nuovo tipo di gioco del gatto e del topo per i ricercatori, ma è stato testato alcune volte negli ultimi mesi. A novembre, ad esempio, un altro gruppo ha utilizzato la tecnica per assumere il controllo dei domini utilizzati da una delle più grandi reti di botnet al mondo, conosciuta come Srizbi, tagliandola dai suoi server di comando e controllo.

Con migliaia di domini, tuttavia, questa tattica può diventare lunga e costosa. Quindi, con Conficker, il gruppo ha identificato e bloccato i nomi utilizzando una nuova tecnica, denominata preregistrazione e blocco dei domini.

Dividendo il lavoro di identificazione e blocco dei domini di Conficker, il gruppo ha tenuto sotto controllo il worm, non è stato un colpo fatale, ha detto Andre DiMino, co-fondatore di The Shadowserver Foundation, un gruppo di cani da guardia del crimine informatico. "Questo è davvero il primo sforzo chiave a questo livello che ha il potenziale per fare una differenza sostanziale", ha detto. "Ci piacerebbe pensare che abbiamo avuto qualche effetto nel paralizzarlo."

Questo è un territorio inesplorato per ICANN, il gruppo responsabile della gestione del sistema di indirizzi di Internet. In passato, l'ICANN è stato criticato per il suo lento uso del potere di revocare l'accreditamento dai registrar dei nomi di dominio che sono stati ampiamente utilizzati dai criminali. Ma stavolta sta diventando un elogio per regole rilassanti che hanno reso difficile bloccare i domini e riunire i partecipanti del gruppo.

"In questo caso specifico hanno unificato le ruote in modo che le cose si muovessero rapidamente", ha detto David Ulevitch, fondatore di OpenDNS. "Penso che dovrebbero essere lodati per questo … È una delle prime volte che ICANN ha davvero fatto qualcosa di positivo."

Il fatto che un gruppo così eterogeneo di organizzazioni stiano lavorando tutti insieme è straordinario, ha affermato Rick Wesson, CEO di Network Intelligence Consultancy Support Intelligence. "Che la Cina e l'America abbiano collaborato per sconfiggere un'attività malevola su scala globale … è una cosa seria, non è mai successo", ha detto.

ICANN non ha risposto alle richieste di commenti per questa storia e molti dei partecipanti allo sforzo di Conficker,

in privato, alcuni partecipanti dicono di non voler attirare l'attenzione sui loro sforzi individuali per combattere ciò che potrebbe essere organizzato gruppo cybercrime. Altri dicono che poiché lo sforzo è così nuovo, è ancora prematuro discutere di tattiche.

Qualunque sia la storia completa, la posta in gioco è chiaramente alta. Conficker è già stato individuato nelle reti governative e militari ed è stato particolarmente virulento all'interno delle reti aziendali. Uno scivolone e i creatori di Conficker potevano riprogrammare la loro rete, dando ai computer un nuovo algoritmo che avrebbe dovuto essere incrinato e dando loro l'opportunità di usare questi computer per scopi nefandi. "Dobbiamo essere accurati al 100%", ha affermato Wesson. "E la battaglia è una battaglia quotidiana."

(Sumner Lemon in Singapore ha contribuito a questo rapporto.)