277 domini chiusi, affossata la botnet Waledac

Microsoft ha ottenuto la chiusura di ben 277 domini grazie all’ordinanza di un giudice che, ascoltate le motivazioni del gruppo, ha inteso agire nell’interesse collettivo ricollegando i domini indicati ad una iniziativa truffaldina in grado di mettere in pericolo una vasta utenza sul web.

La soppressione dei domini è avvenuta in seguito all’identificazione dei domini stessi come parte di un sistema unico denominato “Waledac“. Con questo nome è infatti stata battezzata una estesa botnet, rete di pc attivabili da remoto per portare a segno ondate di spam, attacchi DDoS ed altre offensive di potenziale pericolo. Microsoft è spesso prima vittima di questo tipo di attacchi poiché forte è l’esposizione della propria utenza alle minacce provenienti dalla Rete. In questo caso il gruppo ha voluto muoversi tramite le vie legali, segnalando la botnet e trovando nel giudice l’arma per fermare l’organizzazione.

Il funzionamento delle botnet è risaputo: una infezione apre silenti backdoor nei sistemi sfruttando vulnerabilità del software o ingenuità degli utenti; la backdoor viene sfruttata alla bisogna inviando comandi che attivano i sistemi “zombie” per generare azioni collettive in una sorta di computing distribuito del malware. Le botnet sono in forte crescita e spesso sfruttano informazioni sul Web per poter portare a segno le proprie offensive. Microsoft, una volta delineata la struttura di “Waledac” (identificata per la prima volta a fine 2008) e la natura delle sue infezioni, ha chiesto ed ottenuto la sospensione temporanea dei domini finalizzata al soffocamento delle velleità truffaldine della rete. La denuncia è relativa a 27 responsabili del meccanismo di truffa e va a colpire un sistema che controlla ad oggi centinaia di migliaia di pc in tutto il mondo.

I dettagli sull’operazione “b49” sono disponibili sul blog TechNet. Nel post è presentata altresì una mappa che ben delinea la portata della botnet che l’operazione è andata a colpire (con pieno coinvolgimento anche dell’utenza italiana):

La sospensione dei domini avrà luogo a seguito dell’esecuzione dell’ordinanza da parte di VeriSign, gruppo incaricato della gestione dei Tld di riferimento. Trattandosi di domini sotto la gestione VeriSign è presumibile che trattasi in modo particolare di nomi con desinenza .com e .net. Analisi precedenti avevano già identificato la particolare natura di Waledac, peculiare rispetto ad altre botnet e pronta ad installare malware di vario tipo sui pc vittima (la botnet è inoltre responsabile dell’invio di circa 1.5 miliardi di email spam ogni singolo giorno). Le finalità ultime sono sempre le medesime: raccogliere alti numeri da monetizzare quindi tramite truffe, spamming o cessione di dati personali raccolti con queste modalità.

Interessante, infine, notare come da un grafico riproposto da Feliciano Intini (dopo la precedente pubblicazione di Jeff Jones) si intuiscano i primi importanti risultati della chiusura di quelli che lo stesso Intini definisce come i «centri di controllo» dell’intera botnet: