Sicurezza

Il P2P nuovo veicolo per i malware

Si sta aprendo una nuova era per le botnet. Secondo la società di sicurezza Damballa, le minacce che usano il P2P come centro di controllo stanno crescendo in numero e potenza e saranno tra breve un bel grattacapo per chi si occupa di contrastare l'operato delle botnet. La tattica di utilizzare P2P è in pratica da diversi anni, ma nell'ultimo anno le botnet P2P son cresciute di 5 volte rispetto ai numeri degli anni passati e, in particolare, il P2P è stato usato per divulgare minacce molto pericolose come ZeroAccess, Zeus v3 e il rootkit TDL4/TDSS.

Di solito, i pirati vogliono poter contare su botnet reattive, in modo da creare attacchi lampo che son più difficili da contrastare, e su questo fronte i centri di controllo P2P non brillano. D'altro canto, senza una gerarchia di server ben definita, diventa difficilissimo neutralizzare la minaccia, come invece è successo nel passato recente a molte botnet, perché ogni client è in grado di fungere da nuovo nodo di controllo.

Meno flessibili, meno veloci, meno reattive… ma praticamente indistruttibili. Le botnet su P2P saranno un bel grattacapo tra qualche anno.

"Gli autori delle minacce stanno utilizzando sempre di più P2P, perché la mancanza di una infrastruttura di controllo centralizzato fornisce più probabilità di successo, oltre a rendere più difficile il rintracciare chi ne regge le redini", ha dichiarato John Jerrim, Senior Research Director di Damballa.

"Il P2P limita la capacità degli hacker di essere agili, perché la distribuzione dei comandi per iniziare l'infezione non è immediata. Stiamo assistendo però a un cambiamento di mentalità negli hacker, che sono sempre più disposti ad accettare questo compromesso, al fine di ottenere l'accesso a sistemi che hanno altri meccanismi di difesa".

Un altro vantaggio è che il P2P potrebbe essere utilizzato dai creatori di botnet come un canale di backup per "resuscitare" il malware intercettato. "Nel passato era relativamente semplice bloccare una rete di malware con controllo P2P perché il firewall aziendale riusciva a chiudere tutti i sistemi di comunicazione. Adesso, però, con l'avvento di tablet e smartphone su larga scala, non ci sono più firewall pronti a bloccare le operazioni e quindi i malviventi riescono ad avere accesso a reti che prima erano off limits", ha detto Jerrim.

L'ingegneria P2P dietro ZeroAccess (tristemente nota per il Clickfraud che ha colpito BitCoin) è stato notato alla fine dello scorso anno da un'altra impresa, Kindsight , che stima la  rete di "supernodi", che hanno dirottato la botnet ai computer usati come controller, in oltre 200.000.

Zeus (conosciuto anche come Gameover), aveva "testato" il sistema di P2P già nel 2011 e una prima analisi pubblicata da Dell SecureWorks  stimava che la tecnica fosse stata "abbastanza" efficace, tanto da coinvolgere qualcosa come 700.000 bot.