Gromozon: cosa c’è veramente dietro?

In questo ultimo periodo si fa un gran parlare di Gromozon alias LinkOptimizer. Nei forum, nei blog e nei siti specializzati in sicurezza informatica ci sono migliaia di richieste d’aiuto di utenti che hanno contratto il virus e che non riescono a debellarlo.
Anche noi abbiamo trattato questo tema, presentando alcuni tutorial su come funziona il trojan e su come si deve procedere per la sua rimozioneMa chi veramente conosce cosa c’è dietro al caso Gromozon?

Questo articolo è frutto della raccolta, studio ed analisi di alcuni documenti che Marco Giuliani ed altri esperti del settore hanno scritto nel tempo. Negli ultimi anni abbiamo assistito ad un drammatico cambiamento nelle tecniche di infezione. Alcuni anni fa i programmi maligni esordirono come semplici iniettori di file, poi progredirono in macrovirus, worm, script virus, e ora siamo invasi in numero esorbitante da backdoor, trojan, adware e rootkit.

Il quadro delle competenze necessarie per scrivere malware è cambiato, e allo stesso modo sono cambiati anche gli obiettivi. I giorni in cui i programmatori di virus scrivevano codice maligno per dimostrare quanto bravi fossero nel creare programmi sono finiti, e ora l’unica preoccupazione dei creatori di malware è fare soldi infettando un gran numero di computer.

Utilizzando dei trojan bot un attentatore informatico può ottenere l’accesso da remoto a un sistema. Ci sono migliaia di reti di computer zombie – macchine infettate con backdoor che sono pronte per essere utilizzate per qualunque cosa i pirati informatici che controllano i sistemi desiderino, spaziando dall’invio di email-spam all’esecuzione di attacchi Distributed Denial of Service (DDoS).

Molti di questi programmatori di virus sono foraggiati da aziende che sono povere di principi morali e fanno uso di strategie pubblicitarie maligne. Un’azienda che vuole pubblicizzare un prodotto a milioni di utenti via email dovrebbe inviare tutte le relative email da se stessa, il che può far inserire molto velocemente l’impresa in questione nelle blacklist. Invece, tutto quello che deve fare è pagare un programmatore di virus perché compili un virus che può infettare da remoto un computer, trasformandolo in un server di posta. Le imprese realizzano milioni di dollari di profitto all’anno con le email-spam.

Molte infezioni fanno anche pubblicità locale sui computer degli utenti. Programmi maligni sono utilizzati spesso per mostrare messaggi su determinati prodotti nei computer delle singole persone analizzando le loro abitudini di navigazione e inviando informazioni sugli utenti ai server degli aggressori informatici.

I terroristi stanno usando di frequente le reti informatiche infette (botnet) per attaccare siti web. Ad esempio, qualcuno potrebbe fare un ricatto digitale ad una compagnia e il suo sito web, spingendola ad inviare del denaro con la minaccia di ricevere un attacco infomatico, su larga scala, atto ad esaurire la banda messa a disposizione e a mettere provvisoriamente il sito web offline. Alcuni terroristi informatici controllano reti di centinaia di migliaia di computer, il che rende i loro attacchi abbastanza potenti da far cadere anche i server delle imprese più grandi.

L’arma più recente nell’arsenale degli aggressori è il rootkit, una tecnica usata per nascondere codice maligno in un computer infettato in modo tale che nessun programma possa rilevarlo. Esistono diverse tecniche utilizzabili dagli aggressori con i quali è possibile nascondere file e altri componenti dei virus. Molte di queste tecniche sono state scoperte e le case produttrici antivirus hanno creato delle contromisure, ma, come sempre, i creatori di virus sono un passo avanti e hanno altrettanti modi per combattere e rendere innocui anche gli antivirus e gli antirookit più potenti. Alcuni mesi fa, gli utenti cominciarono a riferire su un’infezione da rootkit che era totalmente sconosciuta ai produttori di antivirus. Questa minaccia è ancora in fase di apparizione e di sviluppo, ed è ancora ampiamente non rilevata. Nelle pagine seguenti analizzeremo questa infezione in dettaglio.

Fatte queste doverose premesse arriviamo a Gromozon!

Gromozon, che prende il nome dal dominio originale da cui partì l’infezione, ha fatto la propria comparsa nel maggio del 2006.
Dopo le prime notizie dell’arrivo di questo nuovo fenomeno si capì come il trojan, estremamente complesso, fosse composto di più parti: un sito web maligno che tramite javascript installava il trojan; lo sfruttamento di alcune vulnerabilità del sistema; alcune librerie (dll) che a loro volta eseguivano il download della parte “rootkit”; un servizio di Windows e per concludere l’adware LinkOptimizer.

Dopo i primi segnali di infezione (strani crash all’avvio, rapporti inusuali dei programmi antivirus che riferivano il rilevamento euristico di file che non potevano pulire, e strani file che comparivano nell’hard disk) la gente riportò infezioni di rootkit sui propri computer, scoperte da alcuni rilevatori di rootkit. Rimuovere queste infezioni, d’altra parte, si sarebbe rivelato molto più difficile di quanto ci si aspettasse.

Tre mesi più tardi, nell’agosto 2006, questa infezione era ancora largamente diffusa, non solo in Italia, ma anche in altri paesi. Nessun produttore di programmi per la sicurezza ha realizzato un aggiornamento per i loro motori di rilevazione o trovato una soluzione che rimuova completamente l’infezione.

Come dicevamo, il trojan sfrutta diverse vulnerabilità di Windows, vulnerabilità già corrette da Microsoft, ma che molto probabilmente moltissimi utenti non hanno installato, visto il numero elevatissimo delle infezioni.

Nonostante i numerosi problemi che Gromozon ha causato e continua a procurare, sembra che i media non si siano ancora accorti della gravità della situazione, preferendo dare notizie su nuovi “pericolosissimi” (ma normali aggiungiamo noi) virus anziché dare spazio all’informazione su uno dei fenomeni più pericolosi e difficili da arginare come Gromozon ed i rootkit in genere.

La gravità della situazione, che come dicevamo si protrae da mesi, non è tanto nel singolo caso di infezione, ma nel lavoro immenso ed “invisibile” che l’organizzazione alle spalle di Gromozon ha messo in atto.

Non parlarne, non diffondere i dati, non sensibilizzare l’opinione pubblica su questo fenomeno, aiuta sicuramente i suoi ideatori a lavorare più tranquillamente.

Dalle notizie e dai commenti apparsi su siti specializzati in sicurezza informatica sembrerebbe che l’organizzazione criminale alle spalle di Gromozon abbia messo in piedi una rete di pc infetti (botnet) a livello mondiale e che sia in grado di controllare le migliaia di pc coinvolti in azioni criminali ed attacchi di tipo DDoS.

A confermare tutto ciò sono i numeri ed i numerosi attacchi di questo tipi che sono stati inferti anche a famosi siti. Solo attraverso botnet di pc zombi, infatti, sarebbe possibile saturare la banda di un server. Un attacco di tipo DDoS (Distributed Denial of Service) serve per amplificare a dismisura la potenza di un attacco DoS. Per portare a segno un attacco di questo tipo sono necessarie molte, moltissime, macchine zombie sulle quali sia presente un Trojan o in questo caso più probabilmente un Rootkit.

Questo tipo di attacco consiste in un numero elevatissimo di false richieste da più macchine allo stesso server consumando le risorse di sistema e di rete del fornitore del servizio. In questo modo il provider affoga letteralmente sotto le richieste e non è più in grado di erogare i propri servizi risultando quindi irraggiungibile.

Difendersi da attacchi di tipo DDoS è estremamente difficile, in quanto è difficile rintracciare l’origine dei pacchetti di richiesta in un attacco DoS, soprattutto se si tratta di un attacco DoS distribuito.

Nella società odierna lanciare un attacco DDoS contro una società significa provocare un danno in alcune situazioni anche molto grave. Molte sono le compagnie che fanno del web la fonte principale di reddito e i loro server web devono essere sempre raggiungibili. Lanciare un attacco DDoS contro una di esse e chiedere per esempio un riscatto è una delle tecniche utilizzate.

Un esempio sono stati i continui attacchi DDoS che da fine novembre/dicembre e a tutt’oggi sono stati sferrati contro molti siti web, alcuni server DNS internazionali, l’hoster italiano Tophost – dove è ospitato anche il sito Pcalsicuro – e alcuni forum e siti internazionali che si occupano di sicurezza informatica.

Dalle informazioni che Marco è riuscito a recuperare, anche altri siti sono stati, in quei giorni, vittime di attacchi DoS. Ovviamente si tratta di siti che fornivano supporto tecnico per la rimozione delle infezioni da Gromozon. Questo lascia pensare che l’attacco al nodo che ospita Pcalsicuro.com non sia stato così casuale, ma probabilmente collegato a qualcosa di più ampio.

Questo ulteriore tassello di tutta la vicenda, dimostra ancora una volta come l’organizzazione che lavora alle spalle di questa infezione, non sia costituita dal solito “ragazzetto occhialuto” che si diverte a creare virus, ma che sia una vera e propria organizzazione criminale che riesce ad attingere a risorse tecniche rilevanti.

Quasi contestualmente all’attacco subìto, sono apparse in rete, sui numerosi siti civetta di Gromozon, alcune versioni del malware che miravano a screditare la rispettabilità di chi da subito li ha combattuti con tutti i mezzi. In queste versioni veniva visualizzato un messaggio, durante il tentativo di esecuzione di un tool antirootkit bloccato dal rootkit stesso, messaggio che accusava Giuliani di essere l’autore di Gromozon.

Ma il caso più eclatante è il sito di Gmer, l’autore dell’omonimo scanner antirootkit, uno dei più utilizzati a livello mondiale. Dalla metà del mese di Dicembre il server di Gmer risulta essere sotto un massiccio attacco DDoS e anche i vari mirror che nei giorni successivi sono stati creati, sono a loro volta finiti sotto attacco diventando irraggiungibili. Ad esempio anche il famoso sito CastleCops è diventato irraggiungibile fino a che ha tenuto una copia in locale dell’antirootkit Gmer.

Non si parla di un attacco semplice, alcuni gestori hanno riportato oltre quattro milioni di hit, circa 600.000 hit ogni ora. Altri hanno registrato un consumo di banda di circa 87GB in meno di cinque ore. Altri server hanno registrato più 8000 bot contemporaneamente all’attacco. In generale un mix di tecniche di attacco differenti e in alcuni casi difficili da filtrare. Un carico spesso ingestibile per la maggior parte dei server.
Un attacco impossibile da gestire e sferrare se non ci fossero molti pc infetti e controllati da remoto. Una realtà, dunque, che sarebbe sbagliato minimizzare.

Cosa succederebbe se invece del sito di gmer venisse attaccato qualche ente istituzionale, finanziario o governativo?

Oltre al problema Botnet, Gromozon sembrerebbe essere responsabile anche di altre diffusioni di malware/rootkit come il Rootkit.DialCall (della quale abbiamo appena riportato la notizia). Dalle analisi di Marco Giuliani – ricercatore di Prevx ed autore dello scritto “The strange case of Dr.Rootkit and Mr.Adware” – il rootkit scaricava un dialer di CallSolutions. Come è ormai tristemente noto, CallSolutions è una società che fornisce dialer esclusivamente per il territorio italiano. In alcuni casi il link che collegava alla pagina infetta dal Rootkit.DialCall era presente nelle pagine web che collegavano anche ai server Gromozon.

Torniamo a Gromozon dunque!

Fonte : Pianeta Pc