8 febbraio 2016

Dopo poco più di due mesi dopo un'operazione da parte delle forze dell'ordine russe per sopprimere le attività del gruppo criminale che utilizzava il programma malevolo Trojan.Dyre, di cui la triste fama si è diffusa nel 2015, i media hanno cominciato nuovamente a parlare del trojan. Questa volta si parla quasi di una vittoria sopra questo malware che minacciava le maggiori istituzioni finanziarie di tutto il mondo da estate 2014. Tuttavia, le forze dell'ordine stesse ancora non hanno fretta di riferire dei successi nella lotta contro questo prodotto della malavita informatica.

Gli specialisti Doctor Web per tutto il tempo dell'esistenza del programma Trojan.Dyre ne monitoravano strettamente la diffusione e studiavano l'infrastruttura creata appositamente dai malintenzionati. Prima di tutto va notato che in questo caso abbiamo visto un "classico" esempio della realizzazione del modello CAAS — crime-as-a-service (crimine come un servizio). "Gli utenti del sistema" ricevevano un builder per la generazione di campioni del trojan, che consentiva di cambiare spesso la sua firma antivirus rendendolo dunque immune ai programmi antivirus. Tutti i dati che il malware raccoglieva sui computer compromessi venivano spediti sui server dei proprietari del Trojan.Dyre. I dati venivano processati e immessi in un pannello di amministrazione che era disponibile agli "utenti" i quali avevano comprato il relativo accesso. Il pannello stesso era diviso in diverse funzioni — controllo dei bot, ricerca per log. Inoltre, vi erano diversi gruppi di pannelli. Tutti i dati in arrivo venivano analizzati dai filtri per selezionare le informazioni che interessavano i truffatori (credenziali ecc.)

Di grande interesse è l'infrastruttura stessa di Trojan.Dyre, che, come dicono gli analisti Doctor Web, è molto più complessa delle infrastrutture di molti altri trojan-banker famosi. Di solito i trojan mandano dati dai computer infetti sul server, dove è installato un pannello attraverso cui i malintenzionati gestiscono i loro bot. Nel caso di Trojan.Dyre veniva utilizzata tutta una serie di varie tecnologie, il che prova che il gruppo di criminali che ha sviluppato e realizzato questo progetto dispone di risorse finanziarie e umane piuttosto imponenti. Così, i dati inviati dai bot venivano accettati e processati da server in .Net, i pannelli di controllo della botnet sono scritti con impiego del framework php Kohana. Per lo stoccaggio e il trattamento dei dati arrivati da tutto il mondo, venivano utilizzati i database postgres e mysql e anche il sistema di ricerca full-text sphinx. Tutti i dati arrivati venivano processati da specifici filtri attraverso cui i malfattori selezionavano le informazioni desiderate (login, password, numeri di conti bancari, dati personali di utenti ecc.). Per proteggere i server dal rilevamento, venivano utilizzai server Tor, nonché server proxy uniti in una rete tramite openvpn. Negli attacchi effettuati tramite il Trojan.Dyre, i malintenzionati collocavano un backdoor con le funzioni di proxy sui router violati, dove la tabella di routing veniva modificata in un modo adatto. I router venivano violati tramite la selezione di password di routine, tenendo presente che molti utenti non pensano di cambiare le impostazioni di fabbrica di protezione dei router, e alcuni altri non li considerano come un punto in cui è possibile una penetrazione nella rete interna.

Ciononostante, gli analisti Doctor Web hanno potuto individuare una serie di server finali utilizzati dai malintenzionati. Sono venuti alla luce elementi dell'infrastruttura di Trojan.Dyre, è stato possibile realizzare sinkhole di alcuni server. Questo ci consentiva di ottenere informazioni importanti che fornivamo prontamente ad alcune banche europee, nonché alle forze dell'ordine di alcuni paesi.

Nonostante le informazioni pubblicate nei media, Doctor Web ritiene che non possiamo ancora rilassarci nei riguardi del Trojan.Dyre. Gli analisti dell'azienda fin ora registrano casi di invio di spam con dei campioni del trojan, e abbiamo ragione di credere che non tutti i server dell'infrastruttura sono fermi. Molto probabilmente, questa storia continuerà "alla prossima puntata".