La botnet Kneber dietro il maxi attacco della scorsa settimana

di Giuseppe Cutrone

Pubblicato 22 Febbraio 2010
Aggiornato 12 Febbraio 2018 20:47

logo PMI+ logo PMI+

La scorsa settimana aveva destato interesse la notizia del maxi attacco portato da alcuni cracker a 2.500 aziende di ben 196 paesi diversi, un attacco su scala mondiale che aveva coinvolto decine di migliaia di computer.

Un evento che non poteva quindi passare inosservato agli occhi degli esperti, tanto che sono stati in molti a studiare nel dettaglio l’attacco, come il sito ZDNet che ha offerto una panoramica della botnet Kneber, mettendo in luce diversi aspetti di quanto accaduto alcuni giorni addietro.

Innanzitutto l’attenzione passa al nome, spiegando come la dicitura “botnet Kneber” sia dovuta all’indirizzo email HilaryKneber@yahoo.com, ovvero l’indirizzo usato per registrare il dominio da cui è partita la campagna, basata sull’utilizzo di Zeus, un trojan già conosciuto nell’ambiente, per scardinare la sicurezza dei sistemi colpiti.

Ad essere coinvolti pare siano stati alcuni esperti cybercriminali che hanno usato una versione di Zeus al fine di raccogliere password d’accesso ai vari servizi bancari online, a social network e a caselle di posta elettronica tanto che, secondo l’azienda di Herndon che ha analizzato i dati, sono stati 68.00 i dati d’accesso di sistemi commerciali, nonché alcuni governativi, ad essere stati rubati.

E proprio il fatto che i criminali si siano concentrati non solo su credenziali di servizi potenzialmente allettanti come quelli di e-banking ma anche su credenziali dei più comuni siti di social network è un punto di un certo interesse, mostrando ancora una volta come questi portali siano sempre più nel mirino di malintenzionati a causa dell’alto volume di traffico che riescono a far confluire.

Qualche dettaglio in più su Zeus è stato fornito anche da Computer Associates. Secondo Rossano Ferraris, Research Engineer della Internet Security Business Unit di CA:

Questa nuova variante presenta le tipiche caratteristiche di un malware bot: riceve comandi e controlla le informazioni attraverso un server. Ne consegue che l’eseguibile – ovvero il malware-bot – viene avviato sul sistema vittima attraverso spam (social engineering) o vulnerabilità del sistema. Una volta installato, scarica un file di configurazione dal server Command & Control che istruisce il malware su quali informazioni catturare e inviare agli hacker. Periodicamente il malware-bot invia le informazioni catturate al server hacker e inoltre si aggiorna automaticamente scaricando le nuove configurazioni che in realtà si traducono in nuove istruzioni da parte dell’hacker su quello che il bot deve svolgere all’interno del computer compromesso

Infine, uno sguardo ai sistemi operativi più colpiti. Sui 75.000 PC controllati finora dal bot Kneber, la maggior parte era funzionante su Windows XP Professional SP2, seguito dall’analoga versione, ma con SP3, e dalla versione Home SP3, in coda invece Vista Home Edition, che è risultato il sistema operativo meno interessato dall’attacco.