di Serena Lisi

Se il 2018 è stato l’anno di avvento e declino dei ransomware (sequestro di dati digitalizzati e profili per chiedere un riscatto), il 2019 è¨ l’anno delle nuove botnet, robot networks, reti di elaboratori che mantengono attivi in maniera fraudolenta servizi web spesso usati per scopi illeciti. Proprio nell’ultimo mese dell’anno è scattato l’allarme a proposito di una nuova variante di Gold Brute, definito dagli analisti di CybergON (business unit di Elmec Informatica) come l’ultima frontiera delle botnet.

Una sorta di insidioso “ritorno al passato”, che conferma il trend già  visto nel 2018, segnato a sua volta dal ritorno del phishing, ossia del furto di dati sensibili realizzato per mezzo di inganni quali finte e-mail di istituti di credito, organi ufficiali e associazioni, che richiedono credenziali e informazioni personali e/o aziendali. Anche se il phishing miete ancora molte vittime, è possibile, tuttavia, affermare che ormai è una minaccia nota le cui azioni e finalità  sono comprese dalla maggioranza degli utenti della rete, che magari peccano di ingenuità  o si ritengono “immuni”, ma che comunque conoscono il meccanismo ed i  risultati della frode messa in atto.

Diversamente, la minaccia del “nuovo” Gold Brute e, più in generale di tutte le botnet non è ancora stata compresa a fondo, sia dai privati cittadini che dagli imprenditori. In sostanza, la botnet non è altro che una rete di computer o dispositivi informatici infettati da un malware, che accedono ad alcuni servizi di rete all’insaputa del proprietario e degli utenti autorizzati all’uso dei dispositivi stessi. Tali dispositivi, non a caso, sono spesso definiti zombie, poiché vengono controllati subdolamente da un cosiddetto botmaster, ossia da un soggetto che impartisce le informazioni fraudolente da accessi remoti e nascosti.

La nuova variante di Gold Brute pare essere particolarmente insidiosa, poiché, tramite i dispositivi infettati, riesce a individuare e sfruttare server che espongono il servizio RDP (Remote Desktop Protocol), in modo da utilizzare credenziali deboli (cioè non protette da sistemi di crittografia e firma crittografica forti) o rubate. Il botmaster che utilizzerà Gold Brute in questa sua nuova versione, dunque, non disporrà  solo della cosiddetta potenza di calcolo del dispositivo infettato, ma anche di una molteplicità  di credenziali “quindi di identità altrui” ottenute proprio tramite ogni device zombie a propria disposizione nella rete. La particolarità  di questa versione del malware consiste nel fatto che esso dispone di più punti di accesso per ogni singolo dispositivo attaccato, per poter eseguire anche solo una parte del codice malevolo, indipendentemente dall’esecuzione del malware stesso per intero: in altre parole, una volta infettata, l’apparecchiatura colpita può far partire sia una che tutte le azioni previste da Gold Brute. Tali azioni vanno dagli attacchi brute force, che permettono di ottenere password di ignari utenti analizzando e provando tutte le possibili combinazioni crittografiche legate alla predetta utenza, fino a trovare quella giusta, all’uso di una library (archivio interno) di password già  ottenute, fino all’individuazione pseudocasuale di indirizzi IP di server da utilizzare per attivare i servizi richiesti dal botmaster.

La particolarità  delle insidie sopra descritte risiede nel fatto che questo nuovo Gold Brute non si avvale di un solo protocollo per compiere i propri attacchi: oltre al già  citato RDP per accedere a servizi web che richiedono credenziali, riesce ad utilizzare anche i protocolli SSH (Secure Shell) e Telnet, per l’accesso remoto a connessioni tramite righe di comando. La questione particolarmente difficile da capire per l’utente medio riguarda proprio il binomio inganno “brute force, ossia la dicotomia tra mezzi di persuasione fraudolenta e mezzi di vero e proprio scasso elettronico”: infatti, Gold Brute si nasconde dietro il file eseguibile javaw.exe, scaricato sul dispositivo attaccato insieme al Java Runtime, ad alcune libraries in formato DLL e ad un archivio ZIP protetto con la password XHr4jBYf5BV2Cd7zpzR9pEGned. Il file eseguibile javaw.exe è solo apparentemente lecito, quando invece contenente due file di testo che attivano le “porte”, ossia gli accessi remoti e le azioni di brute force. Questa combinazione di accesso fraudolento e scasso violento ha finora censito, a detta degli esperti, ben 4 milioni di macchine, che possono avere accesso al milione e mezzo di server già  presi di mira entro il giugno scorso dalla vecchia versione di Gold Brute, di per sé già piuttosto insidiosa. La riflessione che emerge da questi ultimi fatti è, dunque, la seguente: le “vecchie” e già  note minacce non devono mai essere sottovalutate perché, così come virus e batteri patogeni (da cui spesso prendono ispirazione) che attaccano l’uomo e gli altri esseri viventi, si evolvono continuamente, diventando tanto più resistenti e resilienti quanto più lo sono i sistemi da esse attaccati.