Abbattuta EITest, rete di 52.000 server infetti usati per distribuire malware

Alcuni ricercatori di sicurezza sono riusciti a smantellare l'infrastruttura di comando e controllo dietro EITest, un network di server compromessi usati dai cyber criminali per distribuire malware, exploit kit e truffe di supporto tecnico. EITest, considerato "il Re della distribuzione di traffico", è un sistema composto da una lunghissima serie di server compromessi sui quali cyber attaccanti sconosciuti hanno installato backdoor: tramite queste backdoor, i criminali sottraggono traffico legittimo e reindirizzano gli utenti verso pagine web dannose. 

Questa attività dannosa è conosciuta col nome di "traffic distribution": molti cyber criminali costruiscono tali botnet e le affittano "ai colleghi" affinché possano sfruttare il traffico per compiere le proprie attività illecite. 

Nata nel 2011, in affitto dal 2014

EITest è comparsa sulle scene nel tardo 2011: inizialmente però non era un sistema di distribuzione di traffico affittabile. Gli autori lo usavano principalmente per distribuire i loro exploit kit, ad esempio Glazunov, che usavano per infettare gli utenti col trojan Zaccess. 

Al tempo, non costituiva assolutamente un grave rischio: gli operatori di EITest infatti hanno iniziato a rivedere e rielaborare la propria infrastruttura solo nel 2013, per poi iniziare ad affittarla ad altri autori di malware nel Luglio 2014.  Secondo vari ricercatori, EITest ha iniziato a vendere il traffico dirottato da siti compromessi a 20 dollari per 1000 utenti, vendendo blocchi di traffico di una dimensione minima di 50.000 utenti. Da allora EITest è diventato un problema reale per la cyber sicurezza, venendo coinvolto nella distribuzione di innumerevoli famiglie di ransomware (vedi qui e qui), rendirizzando enormi quantità di traffico verso exploit kit famosi e famigerati come Anlger e RIG e recentemente inviando perfino numerose truffe di ingegneria sociale (falso supporto tecnico, falsi pacchetti font, falsi update ecc...). 

Abbattuto il dominio chiave di EITest

I ricercatori hanno colto la palla al balzo per risolvere questo annoso problema quando un giovane ricercatore di BrillantIT è riuscito a crackare il meccanismo tramite il quale i siti infetti si connettevano all'infrastruttura di comando e controllo. Catturato un dominio (stat-dns.com) sono riusciti quindi a dirottare l'intera operazione EITest: quel server è stato indirizzato verso un sinkhole (un server verso il quale si indirizza traffico potenzialmente dannoso impedendo così che arrivi alla destinazione originaria) in data 15 Marzo.

L'analisi del traffico passato dal server dirottato ha rivelato che la botnet gestiva circa 2 milioni di utenti al giorno, provenienti da oltre 52.000 siti web violati, al maggior parte dei quali erano siti WordPress. 

Le reazioni...

In seguito al successo dell'operazione, i gestori di EITest hanno spento i propri proxy C&C, ma non vi sono state ulteriori reazioni. Sembra ciòè che gli autori di EITest abbiamo rinunciato a riprendere il controllo della propria rete, cosa che comunque non esclude che possano costituirne una nuova. Ad oggi comunque vi sono già altre reti di distribuzione traffico alternative, come Fobos o Ngay e Seamless...