Il 19 gennaio di quest’anno una email con oggetto “230 dead as storm batters Europe” è apparsa nei client di posta di un numero imprecisato di computer dislocati in Europa e in America. La mail recava con sé un allegato dal nome video.exe. Tre giorni dopo, otto PC infettati su cento ospitavano Storm Worm, il più straordinario e temibile trojan mai apparso in rete.

GENESI

Nonostante sia classificato come worm, Storm è molto di più: è un collante in grado di organizzare tutti i PC sotto il suo controllo per dare vita a un network – tecnicamente noto come botnet – capace di una potenza di calcolo smisurata.
Le stime sul numero di computer infetti variano da 1.000.000 a 50.000.000, e secondo Matt Sergeant, responsabile della tecnologia anti-spam di MessageLabs, a Storm sarebbero sufficienti 2.000.000 di macchine per superare la potenza combinata di calcolo dei 500 supercomputer più potenti al mondo.

Quando viene eseguito, Storm tenta innanzitutto di connettersi ad altri host infettati tramite un protocollo peer-to-peer (lo stesso usato da eDonkey, salvo lievi modifiche). Stabilito il contatto, viene recuperato un indirizzo IP che conduce a un nuovo eseguibile. Questi, attivato a sua volta, conclude la fase di installazione scaricando i sei programmi chiave che formano Storm. Il PC diventa quindi pronto a ricevere ordini.

ORGANIZZAZIONE

Uno dei motivi che rendono difficili le stime sul numero di computer che ospitano Storm risiede nella sua relativa inattività.
Solo una piccola frazione degli host che formano il network è dedicata alla diffusione del virus, e soltanto una frazione ancora più piccola è adibita a server con funzioni command-and-control (C2), cioè al coordinamento globale di Storm. I computer rimanenti, la stragrande maggioranza, rimangono silenziosi in attesa di ordini e non danno alcun segno di attività (se non sporadicamente, come descritto più avanti).
Questo tipo di comportamento è tremendamente efficace in termini di autodifesa: se anche un host C2 venisse individuato e reso inutilizzabile, il network nel suo complesso non ne soffrirebbe perché altri host fino allora dormienti potrebbero facilmente prederne il posto.

Come se non bastasse, la struttura di Storm è distribuita. Gli host C2 comunicano con un protocollo peer-to-peer, e in linea generale ogni host è a conoscenza dell’ubicazione di un massimo di 25-30 computer infetti: localizzarne uno per risalire all’intero network non funziona.

Infine, gli host C2 adottano una tecnica chiamata fast-flux per cambiare costantemente i valori DNS che li identificano, spesso di minuto in minuto. Anche se si riesce a individuare un host C2, è assai probabile che nel frattempo sia diventato inattivo.

ATTIVITA’

“During our tests we saw an infected machine sending a burst of almost 1,800 emails in a five-minute period and then it just stopped.”
(Amado Hidalgo, ricercatore della Symantec)

La funzione primaria di Storm è quella di impadronirsi degli indirizzi email trovati sul computer ospite per generare quantità inaudite di spam diffondenti il virus. Soltanto negli ultimi tre mesi sono state individuate più di un miliardo di email generate dal botnet, con un picco di 57 milioni raggiunto il 22 agosto, quando parecchi (ma non tutti) degli host dormienti sono stati risvegliati per un breve periodo.

Ma lungi dal limitarsi a crescere, Storm ha mostrato negli ultimi tempi una spiccata propensione all’autodifesa.
Uno dei sei pacchetti che compongono il corpus di Storm è stato progettato per realizzare i cosiddetti distributed denial of service attack (DDoS), una tecnica in cui più bot inviano simultaneamente allo stesso server migliaia di richieste fittizie, fino a sovraccaricarlo e a renderlo inutilizzabile.
Ebbene, sono stati osservati casi in cui un host infetto sottoposto a scanning da un agente esterno si è difeso automaticamente scagliando un contro-attacco DDoS.
Un atteggiamento difensivo che si è rivelato ben più malevolo quando Storm ha preso a lanciare di sua iniziativa attacchi contro siti anti-spam quali spamhaus.org e 419eater.com, o quando ha attaccato il sito personale di Joe Stewart, autore di un’analisi del funzionamento di Storm.

FASE 2

“There’s some evidence that they may control hundreds of Gigabits of traffic, which is enough to force some countries off the Internet.”
(Jeff Chan, ricercatore di surbl.org)

Curiosamente, a parte crescere e attaccare chi lo attacca, Storm ha fatto poco altro. Si sospetta che il botnet sia stato “affittato” per campagne mirate di spam, ed è stato documentato qualche caso di pump and dump, poi nulla più.
L’impressione generale è che il worm sia ancora in una prima fase di crescita e consolidamento. Ciò che succederà in una eventuale fase due è solo ipotizzabile, ma tutti gli scenari che vengono a mente sono molto spiacevoli.
Inoltre, da qualunque parte lo si guardi, Storm sembra inattaccabile e destinato a crescere ancora, almeno finché continueranno a esistere utenti che aprono allegati di provenienza dubbia.

L’unica alternativa percorribile rimarrebbe l’identificazione e la cattura di chi è dietro a tutto questo, e non è escluso che sia un singolo individuo a reggere le fila di Storm, il superverme più potente ed elusivo della rete.

About this entry:

No Responses

1. lzd says:
   

   Great, sembra l’incipit di un manga bello tosto:)

   8 October 2007 @ 10:44

2. Mr._GöRéFe$T says:
   

   ciò induce anche a pensare quanta gente pirla che apre gli allegati .exe esista ancora!!

   8 October 2007 @ 10:58

3. Io giocavo a cyberpunk says:
   

   [...] e la fuga attraverso le fogne infestate dai mutanti. Oggi quando ho letto il post di Giavasan su Storm ho avuto un violento senso di déjà vu. Il futuro arriva un po’ di nascosto come nel caso di [...]

   8 October 2007 @ 11:56

4. masayume says:
   

   Scenario veramente cyberpunk. Il che da un certo punto di vista mi fa anche piacere. E’ stato tutto scritto più di 20 anni fa, ma vederlo realizzarsi piano piano fa impressione.

   “That’s the world we live in”

   Un giorno qualcuno farà collassare la rete e la notizia avrà un impatto tipo attacco terroristico, quantomeno senza vittime (speriamo)

   8 October 2007 @ 12:54

5. Lenny says:
   

   Quoto Mr.gorefest.
   Il che comunque rimane strano, vista la quantità di “Norton Internet Security” che circola… ma probabilmente Storm è meno pesante per la rete rispetto a Norton.

   Fa un po’ “skynet”, anche se ovviamente Storm non è auto-cosciente.

   8 October 2007 @ 13:55

6. Procionegobbo says:
   

   @Lenny: per ora non è autocosciente…per ora

   8 October 2007 @ 15:42

7. Kaplan says:
   

   Dunque, riassumendo:
   C’è un coso maligno che circola in rete che invece di essere composto di un singolo programma autoreplicantesi è un network potenzialmente infinito costituito di nodi di sei programmi. Ogni tanto una sua piccola parte si sveglia, caca il cazzo con un miliardo di email e poi si addorme di nuovo. Nel frattempo il coso diventa sempre più grande e ramificato e con una potenza di calcolo spaventosa che, dovesse risvegliarsi tutta insieme ne farebbe lo strumento informatico più potente mai esistito nelle mani di un gruppo talmente esiguo di persone da poter essere concepito anche come una sola persona.
   E’ giusto fin qui?
   E quand’è che viene la parte rassicurante?

   9 October 2007 @ 01:20

8. delio says:
   

   la parte rassicurante è che i computer infetti sono solo quelli dei coglioni che aprono allegati .exe, che prima o poi si estingueranno per selezione della specie.

   9 October 2007 @ 10:42

9. Alberto Leone » Click compulsivo says:
   

   [...] pubblica un interessante resoconto su Storm, un vero e proprio cancro virtuale in grado di propagarsi, difendersi e attaccare. La rete [...]

   10 October 2007 @ 02:11

10. ubu says:
    

    Splendido post, giavasan. Linko immediatamente.

    10 October 2007 @ 12:04

11. pierre says:
    

    Aggiungiamo il fatto che probabilmente non è ancora stata prevista l’installazione di ulteriore software.

    Qualora fosse possibile aggiungere delle potenzialità in tempo reale replicando delle patch diventerebbe veramente uno scenario terrificante.

    Io sono estremamente a favore dell’open source (perchè nessuno dice che queste cose esistono solo per Windows?) ma spero fortemente che nessuno pubblichi mai i sorgenti di questo abominio.

    10 October 2007 @ 12:40

12. Giavasan says:
    

    @pierre: fare in modo che Storm scarichi ulteriori programmi oltre i sei che lo compongono non dovrebbe essere molto complicato.
    Tieni conto che il codice di base è già mutato parecchie volte, sia perché avviene un continuo morphing automatico teso ad aggirare gli antivirus, sia perché alcune patch Microsoft hanno costretto chi è dietro a Storm a modificare radicalmente i sorgenti.
    E non credo che con un monopolio Apple o Unix le cose migliorerebbero: il sistema operativo prescelto è Windows solo perché è il più diffuso.

    10 October 2007 @ 12:55

13. pierre says:
    

    @Giavasan:
    Flame a parte ho l’impressione che non sia proprio così, a partire dal fatto che se ci si collegasse come utente di basso livello invece che amministratore di sistema i .exe non potrebbero installare nulla, ed in ubuntu root non ci si può neanche collegare come amministratore :-)
    Comunque il mio discorso, per una volta, era proprio CONTRO la diffusione dei sorgenti, specie di un sistema così pericoloso.
    In ogni caso che io sappia possono passare delle “patch”, ma non dei cambiamenti strutturali eccessivi (i.e. integrazione con Intelligenza Artificiale)

    10 October 2007 @ 15:30

14. Giavasan says:
    

    Nessun flame, pierre, era solo una risposta :)
    Sulle patch hai ragione, ma rimango convinto che un sistema operativo inattaccabile non esista.

    10 October 2007 @ 17:27

15. RNiK says:
    

    http://forum.wintricks.it/showthread.php?p=1401350#post1401350

    12 October 2007 @ 18:05

Leave a Comment