Secondo Joe Stewart, un ricercatore della societa' di sicurezza SecureWorks i creatori della rete botnet fastflux , la cui identità è ancora sconosciuta, si potrebbero preparare a vendere "servizi" che comprendono l'utilizzo di segmenti di rete botnet.
Stewart, evidenzia che le ultime varianti Storm ora usano 40 byte di chiave per cifrare il loro traffico peer-to-peer, il che significa ogni nodo botnet sara' solo in grado di comunicare con i nodi che utilizzano la stessa chiave.
Questo consente efficacemente agli autori di Storm di segmentare la rete botnet in reti piu piccole.
Questo fatto potrebbe essere il precursore della vendita ad altri spammer di 'servizi' Storm, costituiti da un sitema completo con fast-flux, DNS e capacita' di hosting.
Se veramente fosse cosi' ci dovremo preparare in futuro ad un aumento notevole di problemi di sicurezza in rete derivati da StormWorm.
L'unica nota positiva, sempre secondo Stewart, sarebbe quella che ora i ricercatori di sicurezza possono distinguere il traffico criptato Storm da altro traffico peer-to-peer , rendendo più facile l'individuazione di nodi Storm su reti in cui le politiche di firewall normalmente consentono traffico peer-to-peer.
Sophos Antivirus concorda con l'analisi di Stewart sul fatto che utilizzare la crittografia potrebbe indicare che ci si sta' preparando a noleggiare parti di rete botnet fast-flux.
Graham Cluley, consulente presso Sophos, ha dichiarato: "L'uso del traffico cifrato in Storm è una interessante funzione che ha sollevato scalpore nel nostro laboratorio. Il suo uso più probabile e' per il leasing a cyber criminali di porzioni di rete. Non sarebbe una sorpresa per una rete che è stata utilizzata per lo spamming, attacchi denial of service, ed altre attività malevoli. "
Graham Cluley, consulente presso Sophos, ha dichiarato: "L'uso del traffico cifrato in Storm è una interessante funzione che ha sollevato scalpore nel nostro laboratorio. Il suo uso più probabile e' per il leasing a cyber criminali di porzioni di rete. Non sarebbe una sorpresa per una rete che è stata utilizzata per lo spamming, attacchi denial of service, ed altre attività malevoli. "
La rete Botnet Storm worm è stata creata all'inizio del 2007, inizialmente inviando mails di spam dal falso messaggio indicante la morte di 230 persone in tempeste che avevano colpito l' Europa : "230 dead as STORM batters Europe'.
Da allora c'e' stata una continua crescita della rete botnet ed è difficile valutare la sua vera dimensione dato che si pensa che una grande percentuale di macchine infette siano in "stand by", secondo esperto di sicurezza Bruce Schneier.
All'inizio di ottobre, Schneier ha scritto in un blog che era preoccupato di ciò che i creatori di Storm avrebbero in serbo per la Fase II di botnet stormworm. "Sembrerà strano, ma Storm non sta facendo molto, finora, ad eccezione di raccogliere le forze", ha scritto, aggiungendo che: "Oltre a continuare a infettare altre macchine Windows e attaccando in particolare i siti che tentano di tracciare Storm ............ Circolano voci che Storm è ora affittata ad altri gruppi criminali. Oltre questo, niente. "
Schneier ha scritto che gli autori di BotnetStorm hanno aumentato la resistenza della rete Botnet utilizzando piccole porzioni di bot per attaccare altri computer per poi farli tornare dormienti
Ha inoltre scritto: "Storm è concepita come una colonia di formiche, con la separazione delle funzioni. Solo una piccola frazione di host infettati diffonde il worm.
Una frazione molto più piccola ha il comando e controllo dei server. Il resto e' in stand by per ricevere ordini.
Permettendo solo ad un piccolo numero di host di propagare il virus e agire come centrale di comando e controllo dei server, Botnet Storm è resistente agli attacchi.
Anche se alcuni host vengono chiusi, la rete rimane in gran parte intatta, e di altri host possono sostituirli.
By Tom Espiner
Tom Espiner writes for ZDNet UK
Edgar
Nessun commento:
Posta un commento