giovedì 22 dicembre 2016

“Tre euro per mandare offline un sito, ma è solo un test”: così si acquistano attacchi

La Stampa
carola frediani

Pochi giorni fa una trentina di arresti, perlopiù di giovani, ha portato in primo piano la compravendita online di servizi DDoS. Come funzionano



Colpire un sito web per mandarlo offline per ore può essere un’attività noiosa se non si ha molto altro da fare: mentre si controlla l’effetto dell’alluvione di pacchetti di dati con cui si cerca di sommergerlo e affondarlo, si può guardare magari un film. È quello che devono essersi detti i gestori di DDoS City, uno dei tanti servizi online dove si affittano attacchi informatici per mandare al tappeto siti web. E così, se si compra uno dei piani tariffari offerti, si può anche accedere alla sezione streaming, con vari titoli a disposizione degli abbonati.

Ad ogni modo il pacchetto di test, dunque il più economico, per provare un attacco di pochi minuti, costa solo 3 euro. Acquistabile via Bitcoin, la nota moneta elettronica; oppure addirittura con PayPal; o con carta prepagata YouPass. Anche su un altro sito simile, RageBooter, che sostiene di avere 128mila iscritti, con 3,5 dollari si acquista un attacco di alcuni minuti, e si paga con Bitcoin; oppure con carta di credito o carta PaySafe. E poi a salire per avere attacchi più sostanziosi per qualche decina di dollari.

TEST DI SICUREZZA E NON
Si tratta di servizi che in teoria si possono usare per fare dei test di sicurezza sui propri siti, per vedere come resistono ad attacchi informatici di tipo DoS o DDoS, che in genere puntano a sovraccaricare di richieste un target fino a mandarlo offline. Ma nella realtà tali servizi, detti anche booter o stresser, sono continuamente e consapevolmente abusati per colpire siti altrui. Il fenomeno esiste da tempo, ma ultimamente si è rinvingorito, anche grazie alla diffusione di un mercato opaco e ambiguo di servizi di questo tipo, apertamente pubblicizzati in Rete come legali. E al proliferare di botnet, cioè di reti di dispositivi infettati e sfruttati per muovere attacchi, basate su nuove categorie di apparecchi connessi, come videocamere e videoregistratori - la rinomata e famigerata internet delle cose (IoT). “I booter o stresser sono il termine con cui si indica la modalità business di affittare una botnet per fare attacchi DDoS”, commenta a La Stampa Catalin Cimpanu, autore del sito di sicurezza informatica BleepingComputer.

Mirai, la più nota delle botnet nate sfruttando l’internet delle cose, ha dato la stura a una nuova generazione di attacchi. E di attaccanti. Tutti molto giovani, galvanizzati dalla facilità con cui oggi si può accedere a certi strumenti. Salvo poi pagarne le conseguenze, come accaduto alle 34 persone arrestate dall’Europol dal 5 al 9 dicembre, fra Spagna, Francia, Gran Bretagna, Romania, Norvegia e altri Paesi. La maggior parte dei sospettati hanno meno di 20 anni. E sono accusati di aver lanciato attacchi DDoS noleggiandoli da servizi come quelli sopra. Nel caso specifico, nella retata Europol - nota come operazione Tarpit - sono stati individuati soprattutto i clienti di questi servizi. Come Sean Krishanmakoto S., uno studente di informatica ventiseienne della California, arrestato e poi rilasciato su cauzione con l’accusa di aver attaccato un servizio di chat online affittando la potenza di fuoco di Xtreme Server, analoga piattaforma di DDoS in affitto attualmente online e ben attiva. Il giovane rischia fino a 10 anni di carcere.


(Un servizio di stresser - immagine La Stampa)

Gli stresser non sono necessariamente illegali e possono essere usati in modo legittimo, notava qualche mese fa un rapporto della società di cybersicurezza Radware proprio dedicato alla crescita di siti di questo genere. Tuttavia “molti servizi legittimi richiedono che si forniscano prove sulla proprietà del sito e del fornitore di servizio che si colpiscono”, scrive il report. O che ci sia accordo per il test. “Purtroppo, la maggior parte degli stresser che abbiamo osservato non richiedono queste prove. Invece si nascondono dietro i loro Termini di servizio, scaricando la responsabilità legale su chi usa lo strumento”.

AREA GRIGIA
La Stampa ha visitato e provato alcuni dei siti citati, riscontrando che l’acquisto dei servizi offerti, dunque degli attacchi informatici, è davvero molto immediato, e non richiede particolari controlli. Inoltre molti di questi pubblicizzano vistosamente il fatto che gli attacchi non siano riconducibili a chi sta attaccando. “È una zona grigia, anzi più che grigia”, commenta a La Stampa Stefano Zanero, professore di sicurezza informatica al Politecnico di Milano. “Intanto, c’è da capire se usano sistemi loro o altri sistemi che sono stati compromessi. Ma anche nel primo caso, quando offri un servizio del genere, dovresti probabilmente controllare che sia davvero usato a fini di test”.


(Il pannello di uno di questi siti - immagine La Stampa)

Tra i metodi di pagamento, monete elettroniche come Bitcoin e Litecoin, ma anche altri sistemi quali Perfect Money, carte prepagate o PayPal. “Molti di questi servizi offrono anche la possibilità di pagare via PayPal perché è più facile per gli utenti”, commenta ancora Cimpanu. “I gestori dei servizi di vendita di DDoS usano conti PayPal ‘intermediari’, collegati cioè a furti di identità, carte di credito compromesse o persone che ricevono e rinviano i soldi in cambio di una commissione, reti di ‘muli’ insomma come ce ne sono nella vita reale”.Esiste un mercato underground di attacchi informatici sparso tra darknet, reti anonime non raggiungibili attraverso i normali browser, e forum specializzati, come avevamo documentato in questo reportage de La Stampa. Ma la maggior parte di questi booter, nota ancora Cimpanu, stanno anche nel web in chiaro: basta una ricerca su Google per trovarli.”Molti erano pubblicizzati sul sito Hackforums, che poi ha rimosso quella specifica sezione”.


(Infezioni di Mirai - immagine di MalwareTechBlog)

GLI EFFETTI DI MIRAI
Hackforums è il forum su cui è stato rilasciato a fine settembre il codice di Mirai, il malware per creare delle botnet infettando dispositivi IoT (internet delle cose), quali router, videocamere, videoregistratori ecc. E divenuto famoso dopo una serie di potenti attacchi che hanno reso irraggiungibili numerosi siti. Da allora le botnet basate su Mirai sono proliferate. Ma ancora oggi su Hackforums ci sono molti messaggi di utenti che cercano aiuto con il codice o la configurazione di queste botnet, o che offrono di dividere i proventi delle attività svolte (ovvero gli attacchi) con altri. A quanto pare, come notato dalla società Digital Shadow, non basta mettere le mani sul codice di questo malware per essere in grado di utilizzarlo: di qui le richieste di assistenza di persone inesperte. Nondimeno, l’avvento di Mirai potrebbe dare una ulteriore iniezione di energia al mercato di booter o stresser, osservano vari ricercatori).

CRIMINE COME SERVIZIO
Un settore che si inserisce in un quadro più ampio, quello di una economia cybercriminale sempre più “professionale” e specializzata, che costruisce modelli di business basati sull’affitto o il franchising di servizi e attività, che si tratti di vendere attacchi DDoS o di infettare i computer delle vittime e chiedere un riscatto per poter accedere di nuovo ai file cifrati, come nel caso dei ransomware (sul mercato dei ransomware vedi questo nostro reportage ). Attività che alcuni offrono in parallelo, un po’ come in un supermercato: da un unico sito puoi affittarti il booter oppure scaricarti un virus grazie al quale poi estorcere soldi alle vittime.


(Un outlet del cybercrimine, ransomware e botnet, segnalato da Catalin Cimpanu)

Del resto, il 2016 ha visto i ransomware crescere in sofisticazione e diversità (ultima novità: infettare i propri contatti per non pagare ), e soprattutto affermare definitivamente il modello del “riscatto come servizio”, nota un recente report della società Kaspersky. E la predizione per il 2017 non rassicura: proprio il successo di questi modelli di business stanno diffondendo virus e servizi di bassa qualità, col risultato che gli utenti rischieranno sempre di più di non riuscire a riottenere i file, anche versando i soldi. In ogni caso, il consiglio degli esperti è comunque di non pagare, ma di rivolgersi piuttosto a personale e siti specializzati. Come il progetto No More Ransom, iniziativa congiunta di forze dell’ordine e aziende.