Joe Stewart: esperto di sicurezza parla della pirateria informatica russa
Nov 10, 2008 | di Stefano Besana | Categoria: SicurezzaNel febbraio del 2005, a Miami, un uomo fece causa alla sua banca per non aver adeguatamente protetto contro una frode di $90,000 operata da un pirata informatico. Quell’uomo si chiama Joe Lopez e fu il primo caso al mondo i denuncia da parte di un privato ad una banca per un motivo del genere.
L’accusa piovve sulla Bank of America per negligenza e mancata tutela.
La frode si è svolta in maniera abbastanza comune: facendo passare delle somme di denaro da un conto all’altro attraverso transazioni on-line. Nulla di particolarmente strano o innovativo.
Vediamo oggi l’intervista a Joe Stewart che ammatte di aver sentito parlare di questa storia.
Joe Stewart è il responsabile del Malware Research al SecureWorks, l’intervista risale all’estate scorsa ed è stata fatta alla Black Hat conference di Las Vegas.
Ma che cosa c’entra la storia di Lopez? C’entra nella misura in cui nell’intervista si parla di Coreflood, una banda di criminali informatici particolarmente interessata al furto di dati e di denaro dai conti correnti on-line.
Al contrario delle principali botnet, l’impatto di questa è decisamente differente: SPAM e malware passano in secondo piano in favore della frode economica.
Ma chi c’è veramente dietro a questa organizzazione? E come mai è cosi’ pericolosa? E noi, che rischi corriamo?
La notizia di Lopez, all’attento orecchio di Stewart non ha fatto altro che accendere il classico campanello d’allarme e con l’aiuto di Spamhaus, un organizzazione antispam, Stewart e SecureWorks sono stati in grado di cooperare per trovare un database di 50Gb di dati importantissimi per la ricerca contro i criminali informatici.
(Credit: SecureWorks)
Apparentemente, il modus operandi di Coreflood è quello di utilizzare un sistema drive-by browser exploit, entra nel sistema e scarica una copia dell’installer per avviare il processo PcExec, considerato legittimo da parte di Microsoft.
“E’ un qualcosa che può capitare a chiunque” ci tiene a specificare Stewart.
Non è un attacco mirato o targettizzato pensato per una tiplogia specifica di utenza, anche se c’è da pensare che il bersaglio principale siano necessariamente le aziende e le soluzioni business.
Una volta fatto questo la gang criminale che ha iniziato l’attacco fa in modo di avere acesso al registro di sistema della macchina e lavorare sulle licenze di Windows.
Secondo le stime del ricercatore, le infezioni dovrebbero essere oltre i 35.000 domini: tutti accumunati dalla stessa cosa: l’interesse per il settore bancario.
Attraverso l’archivio di 50Gb, Stewart è riuscito a comprendere come fosse possibile tutto questo.
Viene attivato uno script di prova che ha come scopo quello di provare a loggarsi all’interno del sistema bancario con le credenziali precedentemente rubate, attraverso un’operazione di keylogging.
Lo script della Coreflood si occupa poi di catturare i dati HTML nella pagina di post-log-in.
Nella maggior parte dei casi in quella pagina sono contenute tutte le informazioni dell’account bancario.
Non è ancora chiaro però se si limitino a tante piccole transazioni o a somme più ingenti. E’ chiaro che le banche non rilasceranno mai queste informazioni.
Quello che Coreflood fa non è un semplice screenshot della pagina, ma un’attenta analisi che viene poi archiviata in directory apposite che permette di tenere traccia di tutti i conti violati.
Se consideriamo che Coreflood opera sul panorama mondiale dal 2001, scopriamo che il profilo che si delinea è tutt’altro che roseo.
Coreflood è un gruppo solido e ben costituito e non riceve la giusta attenzione da parte dei media e degli osservatori di sicurezza, il che permette all’organizzazione di agire pressochè indisturbata.
ottimo articolo! Il cybercrime è sempre in agguato ed è giusto e sensato domandarsi chi o cosa ci sia dietro il moltiplicarsi in modo esponenziale delle frodi telematiche attraverso Botnet e computer zombie. Qualche maligno vocifera che sia RBN ……