Qualche giorno fa abbiamo dato notizia dell'attacco che Microsoft, a capo di una coalizione di ISP, esperti di cyber sicurezza e CERT nazionali, ha portato contro la famigerata botnet TrickBot. Ritenuta una minaccia aperta per le venture elezioni negli Stati Uniti, TrickBot e la sua intera infrastruttura sono stati oggetto di studio da parte di Microsoft che, una volta presentati i dati, ha ottenuto dal United States District Court for the Eastern District of Virginia l'autorizzazione necessaria per passare al contrattacco e smantellare la botnet.
Dalle prime dichiarazioni di Microsoft il risultato sembrava essere stato pienamente raggiunto, ma analisi successive e dati telemetrici hanno indicato come la botnet sia sopravvissuta al tentativo di takedown.
I server di comando e controllo di Trickbot e tutti i domini che sono stati messi offline la scorsa settimana sono già stati sostituiti: in pochissime ore cioè l'intera infrastruttura di Trickbot è stata sostituita. Aziende e ricercatori di sicurezza che monitorano da tempo l'attività di Trickbot hanno dichiarato che gli effetti del takedown sono stati "temporanei e limitati": molti però gli elogi per Microsoft e partner, per lo sforzo e il tentativo indipendentemente dai risultati effettivi.
Alcune fonti interne alla coalizione che ha messo sotto attacco la botnet hanno spiegato che fin dall'inizio era esclusa la possibilità di ottenere lo shut down totale della infrastruttura: la cosa sarebbe provata anche dal fatto che la campagna anti TrickBot già prevede dei passaggi da ripetere, come la messa in down dei nuovi domini. Insomma, gli esperti della coalizione si aspettavano già una pronta risposta da parte degli attori dietro a TrickBot, al punto da aver già previsto alcune mosse da giocare non appena gli attaccanti avessero rimesso online l'intera infrastruttura. Sono centrali, da questo punto di vista, le parole di Tom Burt di Microsoft: "come abbiamo già visto nel corso di precedenti operazioni, i risultati di uno shut down globale che coinvolge più partner si manifestano in più fasi. Abbiamo già previsto che gli operatori di TrickBot tenteranno di riavviare le proprie operazioni. Se necessario quindi adotteremo ulteriori misure tecniche e legali per fermali".
E non potrebbe essere altrimenti: questo approccio multifase è, spiegano gli esperti, il diretto risultato della complessità dell'infrastruttura di questa botnet, gran parte della quale gira su sistemi di hosting molto protetti, che o non rispondono affatto o rispondono molto lentamente a tentativi di takedown. Ad esempio, un report di sicurezza di Intel471 spiega che TrickBot ha iniziato a spostare i propri server di comando e controllo sul sistema di domain name decentralizzato EmerDNS, per cercare di contrastare il tentativo di takedown. Già due giorni dopo il primo assalto, l'infrastruttura della botnet era stata ripristinata, anche se con livelli di attività ben più bassi che nei giorni precedenti.Non un successo completo, ma ci sono stati risultati positivi
In ogni caso ci sono stati effetti positivi: il tentativo di takedown non si è limitato all'infrastruttura. Al momento di approntare la strategia offensiva, hanno spiegato al giornale online ZDNet alcune fonti interne, erano stati valutati anche altri obiettivi: tra questi il cercare di produrre il più alto livelli di costi di ripristino aggiuntivi per gli autori di TrickBot e di ritardare o comunque ridurre il più possibile le operazioni malware già in atto. TrickBot infatti, come sappiamo, offre i propri servizi anche ad alcuni attori ransomware, che usano TrickBot come canale di diffusione.
Resta infatti vero che TrickBot è una delle 3 operazioni Malware as a service (MaaS) più di successo da sempre. La botnet produce massive campagne di spam (anche contro utenti italiani) per infettare pc e IoT, scaricare il proprio malware, quindi vendere i dati rubati dalle macchine attaccate. Oltre a ciò rivende l'accesso alle macchine già infette, aprendo la strada a ransomware, infostealer e keylogger, ma anche a gruppi hacker (col)legati ad alcuni Stati. Abbattere o ridurre la botnet dichiarerebbe una volta per tutte che l'infrastruttura di TrickBot non è così invincibile come si pensa: la cosa potrebbe comportare un duro colpo alla fama di questo MaaS, riducendo anche il numero di coloro che si rivolgono a TrickBot per le proprie campagne malware. E' del tutto plausibile infatti che queste campagne di attacco possano portare a scoprire almeno alcuni dei "clienti" di TrickBot.
Il successo pieno è sul fronte legale
Il caso giudiziario che ha preceduto l'operazione ha prodotto un nuovo e inedito precedente legale. In tribunale infatti, il portavoce di Microsoft ha spiegato di come TrickBot abbia abusato del codice di Windows per finalità criminali, violando i termini di servizio del kit di sviluppo software (SDK) standard di Windows, sul quale sono usare tutte le app Windows. Una violazione del copyright di Microsoft sul proprio codice quindi, poichè gli attaccanti hanno copiato e usato l'SDK a finalità criminali.
La novità è tutta qui: in casi precedenti Microsoft e le forze dell'ordine dovevano presentare prove per dimostrare i danni, finanziari e non solo, subiti dalle vittime in una determinata giurisdizione. Per questo hanno dovuto spesso identificare e contattare le vittime, producendo più cause legali in giurisdizioni diverse. Il nuovo approccio incentrato sulla violazione del copyright è più facile da dimostrare ed è valido indipendentemente dalla giurisdizione. Si fa molto più agile e veloce quindi, per Microsoft, individuare cyber criminali e richiedere le autorizzazioni passare all'attacco.
Nessun commento:
Posta un commento