venerdì 18 marzo 2011

Rustock takedown: un gigante KO!

Microsoft prosegue nell'applicazione del suo progetto MARS (Microsoft Active Response for Security) e dopo l'Operation b49 di febbraio dell'anno scorso è giunta la notizia della Operation b107, ossia della messa off-line di una delle più grandi botnet in circolazione - Rustock. Tanto per dare qualche informazione dimensionale, Rustock è accreditata di quasi 1 milione di bot e ogni giorno è responsabile dell'invio di miliardi mail di spam in tutto il globo.

Ecco cosa è successo...

La Microsoft Digital Crimes Unit ha agito in modo simile a come era stato fatto per il takedown di Waledac - precedentemente ricordato - presentando una denuncia contro gli anonimi gestori di Rustock e ottenendo dal tribunale un ordinanza che ha consentito di sequestrare, assieme al Marshals Service statunitense, alcuni dei server di Comando e Controllo della botnet. Questi sequestri sono stati portati a termine presso cinque hosting provider che operano in sette città degli Stati Uniti (Kansas City, Scranton, Denver, Dallas, Chicago, Seattle e Columbus) l'operazione è tuttora in corso e si sta procedendo all'analisi delle prove raccolte. 

Questo è infatti un momento particolarmente delicato per la riuscita dell'operazione. Precedenti esperienze hanno mostrato che in caso di un takedown solo parziale, i gestori della botnet sono in grado di recuperare in breve tempo il controllo dei computer infetti e, nel contempo, di aumentare anche la resilienza complessiva della botnet. Al momento, comunque, tutti i 26 server di Comando e Controllo della botnet sono irraggiungibili.

Questa operazione guidata da Microsoft, data la sua estrema complessità, ha visto la collaborazione di numerose altre organizzazioni tra cui la Pfizer (danneggiata dalla spam farmaceutico), la società di sicurezza FireEye, esperti di sicurezza presso l'Università di Washington, la High Tech Crime Unit della polizia olandese e il CERT nazionale cinese. 

Il prosieguo dell'operazione sarà caratterizzato dallo sforzo per eliminare il malware dai computer infetti e sarà un lavoro immane (quasi un milione di computer da bonificare non sono pochi!!) che vedrà necessariamente la collaborazione con gli ISP e i CERT di tutto il mondo (mi chiedo a chi si rivolgeranno in Italia, visto che non abbiamo un CERT nazionale e questa non è materia delle forze dell'ordine). 

Fonte M86 Security
Intanto, come si può vedere dal grafico prodotto da M86Security che stava monitorando lo spam inviato da Rustock, la quantità di spam prodotta da questa botnet è arrivata a zero nella giornata del 16 marzo.

Speriamo che resti così!!

Complimenti ancora a Microsoft e a tutti coloro che hanno contribuito a questo grande successo.

1 commento:

glamisonsecurity.com ha detto...

Già, complimenti davvero.

Al Security Summit il keynote di Orbeton, dell'anticrimine di PayPal, illustrava proprio alcune tecniche per combattere i cyber-criminali.

Vedere subito in opera quegli esempi mi fa piacere, ma un po' mi preoccupa. Perché noi stiamo molto ma molto indietro.
Al termine del keynote, Raoul Chiesa ha fatto una semplice domanda: ci sono esponenti delle forze dell'ordine in sala? Nessuno si è alzato...

Posta un commento

http://www.wikio.it