Neutrino prende le “impronte digitali” dei ricercatori specializzati in sicurezza IT

Come hanno rilevato gli esperti di Trustwave, l’exploit pack Neutrino si è arricchito di un nuovo modulo, in grado di bloccare i tentativi di connessione ai propri server effettuati per scopi di analisi e ricerca. Nella circostanza, i malintenzionati hanno introdotto un filtro dei pacchetti TCP, preposto ad eseguire il controllo passivo del fingerprint del sistema operativo in uso presso l’entità che invia tali pacchetti, e ad eliminare, di conseguenza, le richieste provenienti dai computer Linux.

Verso la metà dello scorso mese di gennaio, gli esperti di sicurezza informatica operanti presso la divisione SpiderLabs della suddetta società hanno osservato un sensibile decremento del numero di server attivi utilizzati nell’ambito degli attacchi informatici realizzati mediante il kit di exploit Neutrino. Una diminuzione così repentina ed inattesa ha indotto i ricercatori a tenere sott’occhio, con attenzione ancora maggiore del solito, questo exploit pack, il quale rappresenta, attualmente, una minaccia IT di sicuro temibile, per quanto non particolarmente aggressiva. Di fatto, i computer utilizzati nel laboratorio di SpiderLabs non sono stati in grado di stabilire in alcun modo una connessione con i server di Neutrino già noti, nonostante l’intero ambiente operativo funzionasse in maniera ineccepibile, mentre l’accesso ad altri siti veniva effettuato senza il minimo problema. Inoltre, i tentativi di attivazione del kit di exploit compiuti attraverso macchine Windows vulnerabili, si concludevano regolarmente con l’infezione; in tali circostanze, Neutrino evidenziava un comportamento del tutto ordinario.

Avendo compreso che le cause del problema erano da ricercare nell’ambito del laboratorio, gli esperti di sicurezza IT hanno iniziato a modificare gli indirizzi IP ed i browser, senza ottenere, tuttavia, il risultato sperato; in effetti, così come in precedenza, essi non riuscivano a ricevere alcuna risposta da parte dei server malevoli. La soluzione è stata individuata solo confrontando il traffico proveniente dalle macchine Windows infettate dal kit di exploit con il traffico relativo ai computer del laboratorio stesso: è risultato, in pratica, che Neutrino utilizza, ormai, il modulo iptables OSF, in grado di identificare in maniera furtiva il sistema operativo del nodo remoto. Così, se viene rilevato che si tratta di un computer Linux, il tentativo di connessione viene semplicemente bloccato.

“L’operazione di filtraggio delle macchine Linux da parte dell’exploit pack ha un senso ben preciso – sottolinea Daniel Chechik di SpiderLabs. – Tali macchine sono, spesso, soluzioni di protezione, server o altri tipi di macchine inadatte al ruolo di vittima potenziale. Un simile approccio consente di limitare le possibilità di studio e di indagine, sia che si tratti di una scansione automatica, sia di attenzioni indesiderate da parte di ricercatori operanti nel campo della sicurezza informatica”.

Non è la prima volta in cui i malintenzionati che si avvalgono degli exploit pack cercano di proteggere i propri server da visite indesiderate; tuttavia, secondo SpiderLabs, le misure di “protezione” adottate dai cybercriminali vengono di solito implementate a livello di protocollo HTTP, tramite apposito redirecting verso una risorsa neutra, oppure verso una pagina di errore fasulla. Il trasferimento della protezione al livello TCP è, nel caso specifico, una mossa davvero astuta: se il server non risponde, si è in effetti indotti a ritenere che, probabilmente, lo stesso sia inattivo.

“Visto che gli exploit pack, talvolta, cambiano molto rapidamente la loro ubicazione malevola, è molto probabile che un simile comportamento sia poi interpretato come se si trattasse, di fatto, di un server inutilizzato; Neutrino raggiunge, in tal modo, lo scopo che si prefigge attualmente: essere “lasciato in pace” da tutti quelli che non sono potenziali vittime”, sintetizza Daniel Chechik.

Come accennato in precedenza, il kit di exploit Neutrino non presenta lo stesso livello di attività dei leader del “mercato”, ovvero Angler e Nuclear; ad ogni caso, esso apporta costantemente il proprio contributo alla diffusione dei malware attualmente in circolazione. Così, nel mese di giugno dello scorso anno, Neutrino è stato adibito alla distribuzione del noto banker ZeuS; in agosto, poi, di CryptoWall 3.0, mentre nel successivo mese di settembre l’exploit pack in causa è stato ampiamente utilizzato dai cybercriminali per diffondere TeslaCrypt.

Fonte: Networkworld

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *