hit counter
Svelato un massiccio cyberattacco su scala mondiale (Kneber/Zeus Botnet): nuova minaccia? - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Svelato un massiccio cyberattacco su scala mondiale (Kneber/Zeus Botnet): nuova minaccia?

Svelato un massiccio cyberattacco su scala mondiale (Kneber/Zeus Botnet): nuova minaccia?

  • Comments 3
  • Likes

In queste ultime ore si sono rincorse diverse allarmanti notizie sia sui media online che su quelli tradizionali a proposito di un massiccio attacco su scala mondiale (si parla di circa 2500 aziende colpite, sia private che istituzionali, con circa 75.000 sistemi distribuiti in circa 196 nazioni) appena svelato da una ricerca della società NetWitness riferita in un articolo del Wall Street Journal (WSJ):

Broad New Hacking Attack Detected

La “Kneber” botnet (anche nota come BTN1) è stata scoperta meno di un mese fa durante un’analisi di routine di network forensic in una rete aziendale e ha rivelato l’esistenza di ben 75 GB di dati personali sensibili di tutti i tipi (identità e certificati digitali, credenziali di accesso a conti correnti online, a caselle di posta, siti di social networking – Facebook in testa a tutti).

Il malware utilizzato per creare questa super-botnet risulta essere il già noto Zeus, nella tassonomia del Microsoft Malware Protection Center (e di altri vendor antivirus) noto come Zbot.

Le prime agenzie stampa hanno correlato il malware Zeus con Firefox, riprendendo un paragrafo dell’articolo del WSJ:

The computers were infected with spyware called ZeuS, which is available free on the Internet in its basic form. It works with the FireFox browser, according to computer-security firm SecureWorks. This version included a $2,000 feature that works with FireFox, according to SecureWorks.

… e legandolo alla notizia, sempre di ieri, della risoluzione di alcune vulnerabilità critiche da parte della Mozilla Foundation.

Temo che questa volta Firefox abbia subìto un analogo “sillogismo mediatico”, in una sorta di contrappasso rispetto ai ben noti eventi di IE dello scorso mese: probabilmente il malware a cui accenna SecureWorks è “Bugat” che si propaga sì tramite una botnet Zeus e può avvalersi anche di Firefox, ma personalmente credo si commetta un errore (guardate cosa mi tocca fare, prendere le difese di Firefox! Ah, amore veritatis … :-) a fare la correlazione univoca Zeus>>Firefox>>vulnerabilità corrette ieri.

Aggiornamento (ore 10:30): leggo che lunedì SecureWorks conta di pubblicare un report sulla versione 1.3 di Zeus; magari questo fornirà maggiori dettagli tecnici e chiarirà anche la citata correlazione con Firefox (che debba essere smentito? Certo Firefox si sta guadagnando molta visibilità, ma non del tipo che vorrebbe: altra notizia di ieri sera “Attack code for Firefox zero-day goes wild, says researcher”, vulnerabilità zero day diversa da quelle risolte)

Se è vero che il malware usato per creare questa botnet è Zeus/Zbot allora non siamo di fronte ad una nuova minaccia: per una nuova minaccia globale (come il clamore lascerebbe immaginare) si dovrebbe aver a che fare con una nuova vulnerabilità, non ancora nota, che possa essere stata sfruttata per colpire in modo silente e automatico un numero molto elevato di utenti inconsapevoli. Non sembra essere questo il caso. Qui siamo molto più probabilmente di fronte ad un lavoro certosino (sembra durato 18 mesi e ancora attivo) di allargamento di una super-botnet usando i mezzi tradizionali del social engineering (=indurre l’utente ad aprire allegati pericolosi o andare su siti infetti, e così via) o sfruttando diverse vulnerabilità note e già corrette dai vari vendor, e collezionando, questo sì è un elemento nuovo, tutte le credenziali possibili e immaginabili (anche apparentemente irrilevanti come potrebbero apparire quelle dei social network) per giungere, anche indirettamente, a carpire quelle in grado di produrre un diretto ritorno economico.

L’ottimo articolo di Larry Seltzer esprime bene queste considerazioni che vi ho condiviso e chiude con:

There's no cyber-Pearl Harbor here, nor anything imminently dangerous. Just business as usual.

Ulteriori considerazioni (ore 10:30):

Meglio ribadire in modo ancor più esplicito quanto detto tra le righe: fermo restando le informazioni tecniche ora disponibili, non c’è nulla di cui preoccuparsi se si cura il livello di protezione del proprio sistema secondo le best practice di sicurezza.

Feliciano

Comments
  • Hihihihi, tu lavori per Microsoft e "difendi" Firefox. Io adoro Explorer e sto scrivendo con Chrome... (non ci si capisce più nulla!)...

    Va beh, dopo questa pillola mattutina, dico che TUTTI i social network sono e saranno a mio avviso sempre più bersaglio per tentativi di furto di dati, anche perchè molte persone usano le stesse identiche password per loggarsi su Facebook, per controllare l'email di lavoro e magari anche come password iniziale per il conto bancario on-line... C'è da stare tranquilli!

    Buon Week

  • Il solito clamore mediatico ... certo di tanto in tanto una sana iniezione di paura aiuta a tenere un comportamento più prudente.

  • avete ragione entrambi, se queste scosse aiutano a non prendere brutte abitudini, in particolare nel sottovalutare gli aspetti di autenticazione e privacy nei siti di social network, sono quasi benvenuti...

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment