venerdì 14 aprile 2017

La Botnet Kelihos aveva circa 60.000 dispositivi: ora è sotto attacco


La botnet Kelihos non esiste più: o almeno è quello che sperano le autorità dopo aver tentato per ben tre volte di abbattere l'intera infrastruttura. Questa volta dovrebbe funzionare anche perché è stato individuato e arrestato il responsabile, la mente che era dietro ad una delle più grosse reti di dispositivi zombie tutt'ora attive.

Kelihos era un'istituzione dello SPAM
Ma a che fini veniva usata la botnet Kelihos? La botnet comparve intorno al 2008, ma allora si chiamava Waledac: dopo due anni cambiò nome in Kelihos, appunto. Durante la sua vita ha modificato forma e finalità, essendo l'infrastruttura usata come sistema di lancio di una lunghissima e diversificata serie di attacchi: dalla diffusione di trojan bancari, al lancio di campagne di SPAM e di diffusione di ransomware.

Principalmente però Kelihos era una istituzione dello SPAMMING: si era perfino guadagnata "l'onore" di figurare nella lista dei "Top 10 Spammer" di Spamhaus. Visto che Kelihos era l'origine di milioni di email di spam al giorno, finì nel mirino di molte autorità e sono stati ben tre i tentativi di abbattere la botnet: 2011, 2012 e 2013.


Un modello semplificato di BotNet
Ma Kelihos è sempre "sopravvissuta" grazie alla sua particolare struttura interna: infatti usa un protocollo personalizzato peer-to-peer e molteplici domini per il backup dei domini DNS. Queste caratteristiche consentivano all'autore della botnet di poter inserire in qualsiasi momento nuovi server C&C entro la rete decapitata per riprendere il controllo dei bot. Ogni volta l'autore di Kelihos ha così difeso la propria rete: ogni attacco ha mirato a mettere in down il server C&C, ma subito dopo, il server down veniva sostituito con un nuovo server C&C.

Il quarto tentativo di down ha più possibilità di riuscita
Stavolta l'attacco contro la botnet è stato portato dalle autorità statunitensi secondo un ragionamento molto semplice: se l'autore è in stato di arresto non ci sarà nessuno che potrà sostituire il server C&C dopo il down del server principale. Da quanto l'attacco è cominciato, la scorsa settimana, si sono individuati ben 60.000 dispositivi infetti collegati alla botnet, dei quali la maggior parte erano computer infetti localizzati in Egitto e Cina. 

Se il quarto tentativo andrà a frutto o meno, quindi se il soggetto tratto in arresto è davvero la mente della botnet, non compariranno all'improvviso nuovi server C&C e il traffico continuerà a fluire nei server secondari fino a quando tutti i bot scompariranno, dopo risanamento dei computer infetti.

Le autorità hanno usato la Rule41
Le autorità statunitensi che hanno organizzato l'attacco si sono avvalsi della Rule41 delle "Federal Rules of Criminal Procedure", che consente alle autorità di tracciate le vittime della botnet e segnalare ai team nazionali del CERT i loro indirizzi IP. Il compito dei team CERT nazionali sarà quello di contattare la vittima e aiutarla nella pulizia del proprio computer.

La Rule 41, approvata lo scorso anno, consente infatti alle autorità di eseguire hack dei pc infetti che contribuiscono all'infrastruttura di una botnet. Le autorità hanno comunque ribadito che la Rule41 consente di raccogliere solo informazioni relative all'indirizzo IP e pochi altri dati. 

Ad oggi pare che l'attacco abbia avuto successo: il traffico nella botnet si è drasticamente ridotto. 

Resta ora, ancora un grande e già conosciuto nemico, di cui abbiamo già parlato volte (quiqui e qui) ovvero la botnet di videoregistratori e telecamere Mirai. 

Nessun commento:

Posta un commento