Una delle più grandi botnet per attività di cibercrimine fermata dalla collaborazione polizia-ricercatori. Inviava 30 miliardi di mail al giorno
CLAUDIO LEONARDI
Microsoft in prima linea nella lotta allo spam. Il gigante di Redmond ha contribuito all'abbattimento di una delle più grandi reti illegali per l'invio di e-mail spazzatura, una botnet tentacolare nota con il nome di Rustock che, da mercoledì, è stata messa a tacere.

Dopo aver infettato quasi un milione di computer e sputato spam per un totale di 30 miliardi di messaggi di posta ogni giorno, il network di pc zombie è stato bloccato da un piccolo gruppo di ricercatori informatici, sostenuta da avvocati di Microsoft, marshal statunitensi e ufficiali di polizia giudiziaria di tutto il mondo. Una botnet, infatti, non è altro che una complessa rete di computer infettati da un virus, che permette di avere il totale controllo dei computer all'insaputa dei loro proprietari. Si può estendere su diversi continenti e appoggiarsi a server un po' ovunque. Non basta spegnerne una singola cellula perché smetta di essere pericolosa e occorre compiere operazioni di bonifica vaste e articolate.

Operazioni non semplici, in cui Microsoft sarebbe ancora impegnata per ripulire i computer infetti e per impedire agli spammer di riassumere il controllo della loro botnet. E' stata un'azione concertata su cinque città statunitensi, Kansas City, Scranton, Denver, Dallas e Chicago, per recidere "gli indirizzi IP che controllavano la botnet, tagliando la comunicazione", come ha scritto Microsoft in un blog post. Ma la battaglia non è ancora vinta, perché fino a quando non si arrestano gli autori della rete criminale, la botnet può risollevarsi, anche nel giro di poche ore.

E tuttavia, questa battaglia merita d'essere raccontata perché inaugura una strategia originale nel contrasto alle attività illegali su internet.

Rustock è un brutto cliente: si insinua subdolamente sui pc di ignari utenti di internet e li trasforma in macchine da guerra per  spam, ciberattacchi o spionaggio. Una volta infettati, è molto difficile accorgersi dell'ospite indesiderato e liberarsene. Per quasta ragione è stata messa a punto una tecnica nuova, sia da un punto di vista informatico sia da quello legale.

Un folto gruppo di ricercatori Internet ha tenuto sotto osservazione Rustock alla ricerca dei suoi punti deboli. Un team ancora più specializzato, quindi, si è alleato alle forze dell'ordine, per passare dalla teoria alla pratica. L'azione è stata condotta da Microsoft, con l'aiuto di FireEye, un vendor specializzato nella sicurezza informatica, l'Università di Washington, il produttore farmaceutico Pfizer e la polizia olandese. Invece di serviorsi della giustizia penale, Microsoft ha presentato cause civili nei confronti degli operatori anonimi di Rustock, ottenendo dai giudici gli strumenti legali per individuare i server utilizzati per il controllo della botnet. La polizia olandese ha poi contribuito a spegnere i server al di fuori degli Stati Uniti.

Microsoft aveva già collaborato con i tribunali civili, circa un anno fa, per fermare Waledac, un'altra botnet, ma gli esperti giudicano Rustock molto più complessa, sia per il numero di server coinvolti, sia per le difficoltà a livello di DNS.

Le macchine infette, infatti, hanno tutte un piano di riserva per rimettere in piedi la rete, quando i server da cui partono le istruzioni sono disattivati. Questa botnet, infatti, adotta un algoritmo intelligente per generare i nomi di siti web a cui cercare poi di connettersi per ricevere le nuove istruzioni, ogni volta che i suoi server di comando sono messi fuori gioco.

I computer infetti si collegano a predeterminati siti di news  - Slashdot per esempio - e generano una specie di "seme" numerico in base ai contenuti che trovano sulla pagina. Questo seme, che contiene in codice il nome del dominio a cui Rustock tenterà di connettersi, è quindi criptato e trasmesso ai padroni del network. Un sistema che rende impossibile indovinare i nomi di dominio pericolosi in anticipo.

Anche per questo, Microsoft ha dovuto collaborare con le autorità cinesi, nel tentativo di tenere sotto controllo la generazione di nuovi domini. Al momento, il tentativo sembra essere andato a buon fine, ma può bastare una distrazione perché la rete si ricostituisca.