Si chiama Kelihos l'ultima botnet neutralizzata da Microsoft nelle ultime settimane con un'operazione condotta anche con l'aiuto della corte distrettuale di Richmond. "Basandoci sui recenti successi dei takedown delle botnet Rustock e Waledac, sono lieto di annunciare che Microsoft ha rimosso le botnet Kelihos in una operazione con il nome in codice "Operazione b79" con analoghe misure giuridiche e tecniche che hanno portato al nostro successo del takedown delle precedenti botne", scrive Richard Boscovich Domingues procuratore Senior di Microsoft Digital Crimes Unit.
Kelihos, conosciuta anche da alcuni come "Waledac 2.0" dato il suo sospetto legame con la prima botnet che Microsoft ha messo giù, non è così massiccia come la spambot Rustock. Tuttavia, questa rimozione rappresenta comunque un significativo passo avanti nella lotta di Microsoft contro le botnet. Con questa rimozione è la prima volta che Microsoft ha nominato un soggetto in una delle sue cause civili che coinvolgono una botnet e all'imputato sono stati notificati personalmente le azioni legali il 26 settembre scorso. Il takedown di Kelihos intende inviare un messaggio forte a coloro che dietro le botnet provano con poca saggezza ad aggiornare semplicemente il proprio codice e ricostruire una botnet, una volta che viene smantellata.
Quando Microsoft manda una botnet giù, ha intenzione di mantenere il passo e continuerà ad agire per proteggere i propri clienti e le piattaforme e individuare i responsabili delle loro fastidiose azioni. Nel reclamo, Microsoft sostiene che Dominique Alexander Piatti e 22 anonimi "John Doe" della ceca dotFREE Group SRO, possedevano un dominio cz.cc e utilizzavano cz.cc per registrare altri sottodomini come lewgdooi.cz.cc utilizzato per azionare e controllare la botnet Kelihos. L'inchiesta di Microsoft ha rivelato che mentre alcuni dei sottodomini del convenuto possono essere legittimi, molti sono stati usati per scopi discutibili con link a una varietà di malfamate attività online.
Per esempio, l'indagine ha rivelato che oltre ad ospitare Kelihos, il dominio cz.cc imputato è già stato indagato per i sottodomini di hosting responsabili della consegna di MacDefender, un tipo di scareware che infetta il sistema operativo di Apple. Inoltre, nel maggio 2011, Google ha temporaneamente bloccato i sottodomini ospitati dal dominio cz.cc dai suoi risultati di ricerca dopo aver scoperto che erano hosting di malware, anche se i sottodomini sono stati reintegrati da Google dopo che il convenuto ha risolto il problema.
Microsoft sostiene inoltre che gli imputati Dominique Alexander Piatti e John Doe sono stati operatori delle botnet Waledac e Rustock per installare nei computer del software dannoso, che ha permesso alla botnet di controllare surrettiziamente il computer di una persona e utilizzarlo per una serie di attività illegali, tra cui l'invio di miliardi di messaggi spam, la raccolta dei dati personali degli utenti infetti da Kelihos (come ad esempio le e-mail e password), truffe fraudolente di aziende e, in alcuni, casi, siti web per la promozione di materiale per lo sfruttamento sessuale dei bambini.
Simile a Rustock, alcuni dei messaggi di spam hanno anche promosso vendite senza licenza di farmaci generici contraffatti o non approvati potenzialmente pericolosi e vendite non regolamentari di droghe. Kelihos anche abusato di Microsoft Hotmail e del sistema operativo Windows per svolgere queste attività illegali. Il 22 settembre scorso, Microsoft ha presentato la richiesta con l'ordine restrittivo temporaneo alla US District Court per il Distretto Orientale della Virginia contro Dominique Alexander Piatti e i 22 John Doe del dotFREE Group SRO. Il Tribunale ha accolto la richiesta, che ha permesso di tagliare i collegamenti tra la nota botnet Kelihos e i "computer zombie", sotto il controllo dell'individuo.
Subito dopo la rimozione il 26 settembre, Microsoft ha individuato che Dominique Alexander Piatti, vive e svolge la sua attività dotFREE Group SRO nella Repubblica Ceca e, con avviso di querela ha avviato le discussioni con il signor Piatti per determinare quale dei suoi sottodomini sono stati usati per attività legittime, così è stato possibile riottenerli di nuovo online nel più breve tempo possibile. Microsoft ha anche iniziato a concentrare i propri sforzi per individuare gli altri imputati John Doe in questo caso, e continuerà attivamente la sua indagine per saperne di più sulle persone che stanno dietro questa botnet.
Dare un nome agli imputati in questo caso segna un grande passo avanti per Microsoft nel suo impegno a proteggere in modo aggressivo la propria piattaforma e i clienti contro gli abusi da chiunque e ovunque possano provenire. Il nome di questi imputati aiuta anche comprendere come il crimine informatico è abilitato quando i fornitori di dominio e altri fornitori di infrastrutture informatiche non riescono a conoscere i loro clienti. Senza una infrastruttura di dominio come quella che ha presumibilmente ha ospitato il signor Piatti e la sua compagnia, gli operatori di botnet e altri fornitori di truffe e malware avrebbero molta più difficoltà ad operare in modo anonimo e fuori di vista. Mandando giù le infrastrutture botnet, da Redmond sperano che ciò aiuterà a scoraggiare ed aumentare il costo per commettere crimini informatici.
Inoltre, questo caso mette in luce un problema a livello di settore riguardante l'utilizzo di sottodomini. Secondo la legge degli Stati Uniti, anche gli intermediari pedina del crimine informatico che sono proprietari di domini, sono regolati in maniera più efficace per impedire la rivendita di beni rubati al fine di impedire l'uso delle loro proprietà digitali. Per esempio, gli operatori banco dei pegni devono richiedere un nome, l'indirizzo e la corretta identificazione da parte dei clienti, mentre invece non vi sono attualmente i requisiti che richiedono agli host del dominio di sapere nulla delle persone che utilizzano il loro sottodomini, rendendo semplice per i proprietari di domini guardare dall'altra parte.
Attraverso questo caso, Microsoft spera di dimostrare che se i proprietari di domini non si ritengono responsabili di conoscere i loro clienti, essi saranno ritenuti responsabili per ciò che sta accadendo sulla loro infrastruttura. L'obiettivo della società è che questo caso possa stimolare l'industria a livello di discussione per le pratiche di sottodominio più pubbliche e renda conto di registrazione per consentire un uso più sicuro di Internet per tutti gli utenti. Il takedown della botnet Kelihos rappresenta un elemento importante nell'attività di lotta alle botnet. L'analisi di Microsoft del botnet Kelihos ha mostrato che grandi porzioni di codice Kelihos sono stati condivisi con Waledac, il che suggerisce che Kelihos era parte dello stessa o che il codice è stato ottenuto, aggiornato e riutilizzato.
Una volta imparato il rapporto apparente Waledac, Microsoft ha subito iniziato a sviluppare un piano per togliere Kelihos con analoghe misure tecniche. Anche se, Kelihos era considerata una botnet relativamente piccola (le indagini di Microsoft fino ad oggi indicano che circa 41.000 computer in tutto il mondo sono stati infettati con Kelihos, e che Kelihos era in grado di inviare 3.800.000.000 e-mail spam al giorno) e non ci si aspetta che la sua interruzione possa avere un vasto impatto su Internet dopo il takedown, ma questa decisione è stata presa prima che la botnet potesse avere l'opportunità di crescere ulteriormente e perché Microsoft crede che che la responsabilità sia importante.
Ripulire i computer infettati dal malware della botnet è anche una parte molto importante di ogni operazione di Microsoft per il takedown della botnet, e sta progettando di lavorare con gli Internet Service Provider (ISP) e il Community Emergency Response Teams (CERT) per riparare i danni causati da Kelihos come ha fatto con Rustock e Waledac. Per aiutare questo processo, il Microsoft Malware Protection Center ha aggiunto la famiglia Win/32 Kelihos in una seconda release dello Strumento di rimozione malware per ridurre al minimo l'impatto futuro del malware. E, come ha sempre fatto fin dall'inizio della sua iniziativa di takedown delle botnet, Microsoft continua a fornire gli strumenti gratuiti e le informazioni per aiutare i clienti a tenere puliti e riprendere il controllo dei loro computer all'indirizzo http://support.microsoft.com/botnets.
L'Operazione b79 di Microsoft è il terzo progetto dell'iniziativa MARS (Microsoft Active Response for Security). Il progetto MARS è un programma guidato dalla Microsoft Digital Crimes Unit, in stretta collaborazione con il Microsoft Malware Protection Center e il team di Trustworthy Computing per annientare le botnet e far progredire la sicurezza di Internet per tutti. Microsoft impara nuove importanti informazioni sulla minaccia globale dalle botnet durante ogni takedown, e continuerà a condividere le informazioni sulle minacce acquisite in questo sforzo con clienti, partner e la comunità globale per interrompere ulteriormente tutto il mondo della criminalità informatica. "Rilevare le botnet richiede uno sforzo collaborativo e nessuna singola organizzazione può farlo da sola. Vorremmo ringraziare tutti coloro che hanno contribuito a sostenere questo takedown e precedenti, tra cui Kyrus Tech Inc., che fungeva da dichiarante nel caso legale che ha permesso questa rimozione", conclude Boscovich.
Nessun commento:
Posta un commento