Il worm Storm


Il worm Storm è apparso per la prima volta all’inizio dell’anno,
nascosto in allegati di email dal titolo “230 dead as storm batters
Europe” [La tempesta colpisce ripetutamente l’Europa, provocando 230
morti]. I computer di coloro che aprivano l’allegato diventavano
infetti, e si univano a un botnet in crescita continua.

Pur essendo più comunemente identificato come un worm, in realtà Storm è
molto di più: è un worm, un Cavallo di Troia e un bot, riuniti in
un’unica entità. È anche l’esempio più riuscito di una nuova specie di
worm, e ho visto stime secondo le quali in tutto il mondo sono già stati
infettati da 1 milione a 50 milioni di computer .

Worm vecchio stile, come Sasser, Slammer e Nimda, erano realizzati da
hacker che cercavano la gloria. Venivano diffusi il più rapidamente
possibile (Slammer infettò 75.000 computer in 10 minuti) e per questo
acquisirono molta notorietà. Grazie a una tale offensiva, gli esperti di
sicurezza poterono facilmente individuare l’attacco, ma fu necessaria
una pronta risposta da parte delle compagnie antivirus, degli
amministratori di sistema e degli utenti nella speranza di contenere
l’attacco. Si pensi a questo tipo di worm come a una malattia infettiva
che manifesta sintomi immediati.

Worm come Storm sono scritti da hacker che cercano di trarne profitto, e
sono molto diversi. Si diffondono in maniera più subdola, senza fare
rumore. I sintomi non appaiono immediatamente, e un computer infetto può
starsene tranquillo per molto tempo. Se fosse una malattia, sarebbe più
simile alla sifilide, i cui sintomi possono essere molto lievi o del
tutto assenti, ma alla fine si ripresenta a distanza di anni e attacca
il cervello.

Storm rappresenta il futuro del malware. Analizziamone il comportamento:

1. Storm è paziente. Un worm che attacca continuamente è molto più
semplice da rilevare; un worm che attacca e poi si disattiva per un
certo tempo può nascondersi con più facilità.

2. Storm è progettato come una colonia di formiche, ossia presenta una
suddivisione dei compiti. Solo una piccola frazione degli host infettati
diffonde il worm. Un insieme ancor più piccolo è rappresentato da
macchine C2: server di controllo (command and control). Il resto delle
macchine rimane in attesa di ordini. Dato che permette soltanto a una
piccola percentuale di host di propagare il virus e di agire come server
di controllo, Storm è piuttosto resistente agli attacchi. Anche se
quegli host vengono scollegati, la rete rimane in gran parte intatta, e
altri host possono subentrare, incaricandosi di tali compiti.

3. Storm non provoca danni agli host, né causa rallentamenti o cali
prestazionali visibili. Come un parassita, Storm per sopravvivere
necessita un ospite intatto e sano. Questo ne rende il rilevamento ancor
più difficile, perché la maggior parte del tempo utenti e amministratori
di rete non noteranno alcun comportamento anomalo.

4. Invece di far comunicare tutti gli host con un server centrale o con
un gruppo di server, Storm utilizza una rete peer-to-peer per il C2. Ciò
rende il botnet di Storm molto più arduo da disattivare. Il metodo più
comune per disattivare un botnet è chiudere il punto di controllo
centralizzato. Ma Storm non presenta tale punto di controllo
centralizzato, pertanto non è possibile disabilitarlo in questo modo.

Questa tecnica possiede altri vantaggi. Le aziende che monitorano
l’attività di rete possono rilevare anomalie nel traffico stesso in
presenza di un punto C2 centralizzato, ma un C2 distribuito non appare
come un picco, e le comunicazioni non sono facilmente individuabili.

Un metodo standard per rintracciare server C2 di root è far passare un
host infetto attraverso un debugger di memoria e analizzare da dove
provengono i comandi. Ciò non funzionerà con Storm: un host infetto
potrebbe soltanto essere a conoscenza di un numero molto piccolo di
altri host infettati (25-30 per volta), e tali host distano dai server
C2 primari un numero di hop sconosciuto.

E anche se un nodo C2 venisse disattivato, il sistema non ne soffrirebbe
più di tanto. Come una idra dalle molte teste, la struttura C2 di Storm
è distribuita.

5. Non soltanto i server C2 sono distribuiti, ma si nascondono persino
dietro una tecnica di cambiamento costante dei DNS chiamata “fast flux”.
Per cui, anche se un host compromesso viene isolato e sottoposto a
debugging, e un server C2 viene identificato attraverso la nuvola
(cloud), esso potrebbe essersi già reso inattivo.

6. Il payload di Storm (ossia il codice che utilizza per diffondersi) si
modifica all’incirca ogni 30 minuti, riducendo l’efficacia delle
classiche tecniche AV (antivirus) e IDS.

7. Anche il meccanismo di distribuzione di Storm cambia regolarmente.
Storm ha cominciato a propagarsi sotto forma di spam PDF, poi gli autori
hanno cominciato a servirsi di e-card e di inviti YouTube: qualsiasi
mezzo per spingere gli utenti a fare clic su un link fasullo e malevolo.
Storm ha prodotto anche commenti di spam nei blog, sempre con
l’obiettivo di ingannare i visitatori e invitarli a fare clic su
collegamenti infetti. Questi tipi di tattiche di diffusione di un worm
sono piuttosto comuni, ma occorre sottolineare come Storm sia in
continua metamorfosi a ogni livello.

8. Anche le email prodotte da Storm mutano continuamente, facendo leva
su tecniche di ingegneria sociale. L’oggetto delle email è sempre
diverso, così come il corpo del testo, tutto per attirare attenzione:
“Killer a undici anni, esce di prigione a 21 e...”, “Programma di
tracciamento di football americano” inviato nel finesettimana di inizio
campionato della NFL, nonché avvisi di tempeste e uragani imminenti. I
programmatori di Storm sono molto bravi a far leva sulla natura umana.

9. Il mese scorso Storm ha cominciato ad attaccare siti anti-spam
dedicati alla sua identificazione (spamhaus.org, 419eater e altri) e il
sito personale di Joe Stewart, che ha pubblicato un’analisi di Storm.
Ciò mi ricorda una teoria di base della guerra: fate fuori la
ricognizione del nemico. O anche una teoria di base delle bande di
quartiere e di alcuni governi: fate in modo che gli altri sappiano che è
meglio non ostacolarvi.

Il fatto è che neanche sappiamo come ostacolare Storm. Storm è in
circolazione da quasi un anno, e le compagnie antivirus non sono
praticamente in grado di fare nulla per fermarlo. Inoculare le macchine
infettate una a una non porta da nessuna parte, ed è improponibile
obbligare gli Internet Provider a mettere in quarantena gli host
infetti. Una quarantena non funzionerebbe comunque: i creatori di Storm
potrebbero facilmente progettare un altro worm, e sappiamo che gli
utenti non riescono a trattenersi dal fare clic su allegati e link
invitanti.

Ridisegnare completamente il sistema operativo di Microsoft potrebbe
funzionare, ma è una cosa talmente irrealizzabile che è ridicolo perfino
suggerirla. Creare un worm benigno anti-Storm sarebbe una trama
fantastica per un libro o un film, ma è una pessima idea nel mondo
reale. Molto semplicemente, non sappiamo come fermare Storm, se non
trovando le persone che lo controllano e arrestandole.

Purtroppo non abbiamo la più pallida idea di chi siano queste persone,
anche se si ipotizza si tratti di russi. I programmatori sono ovviamente
molto intelligenti e dotati, e stanno continuando a lavorare alla loro
creazione.

Stranamente al momento Storm non sta facendo granché, a parte
irrobustirsi sempre più. Oltre a continuare a infettare nuove macchine
Windows e a prendere di mira certi siti che lo stanno attaccando, Storm
è rimasto implicato solo in alcune truffe azionare pump and dump. Voci
di corridoio affermano che Storm venga affittato ad altri gruppi
criminali. A parte questo, nulla.

Personalmente mi preoccupa ciò che i creatori di Storm stanno
pianificando per la Fase 2.

Bruce Schneier