Questa volta i virus si nascondevano dentro computer nuovi di zecca, venduti con sistema operativo Windows originale (solo in apparenza). Pronti ad agire a comando, appena collegati a internet, e dilagare in rete. Veri e propri agenti dormienti, come Frank Sinatra/Bennett Marco in Va’ e uccidi (The Manchurian Candidate, 1962) e Kevin Costner/Tom Farrell in Senza via di scampo (No Way Out, 1987), ma non è la trama di un film o di un thriller. La Microsoft’s Digital Crimes Unit – il controspionaggio interno della multinazionale – ha scovato e distrutto 500 ceppi diversi di zombie pronti a infettare milioni di computer, nel corso di un’operazione denominata Operation b70 e autorizzata dalla magistratura della Virginia. All’insaputa dei proprietari, il malware avrebbe controllato le macchine per attività di criminalità comune, spionaggio e cyber-guerra.
La mappa dell’infezione Nitol.a con picchi in California, New York e Pennsylvania
L’inchiesta dell’intelligence di Microsoft è cominciata nell’agosto 2011, con l’esame di una ventina di notebook e desktop con sistema operativo Windows precaricato, acquistati in negozi di varie città cinesi. Il sistema operativo era stato modificato abilmente per nascondere malware, in particolare Nitol.A, un cavallo di Troia mutante, polimorfico, in grado di modificare la sua struttura.
Gli agenti di Microsoft trovano Nitol.A in quattro computer: tre sistemi sarebbero zombie, che però vengono risvegliati e iniziano a far danni quando l’utente del quarto computer si connette alla rete. Il Nitol.A modificato è un pifferaio magico in grado di controllare le altre macchine contagiate per commettere crimini informatici, cioè sottrazione di dati sensibili (identità, codici, password, conti bancari, eccetera) e veri e propri atti di cyber-guerra.
Chi utilizza una macchina infetta non si accorge di nulla, mentre il computer diventa parte di una Botnet, una rete occulta creata per delinquere.
Dice Microsoft, che ha presentato una denuncia dettagliata alla Corte Distrettuale degli Stati Uniti per il Distretto Orientale della Virginia, che l’organizzazione criminale si nascondeva dietro il sito 3322.org, registrato a nome della società Bei Te Kang Mu Software Technlogy, il cui proprietario Peng Yong nega qualsiasi coinvolgimento. Sostiene invece Richard Domingues Boscovich, Assistant General Counsel della Microsoft Digital Crimes Unit, che quel sito è noto per aver condotto attività illegali fin dal 2008. Il 10 settembre la magistratura permette a Microsoft di prendere il controllo del sito 3322.org, che conteneva “l’incredibile cifra di 500 diversi ceppi di malware ospitati su più di 70.000 sottodomini”.
Kevin Costner in Senza via di scampo, agente dormiente sovietico in divisa da ufficiale americano.
Pericolo sventato, stavolta, ma quanti computer sono stati infettati? Microsoft fa questo appello agli utenti di tutto il mondo:
“Se ritieni che il tuo computer possa essere stato infettato, ti invitiamo a visitare http://support.microsoft.com/botnets che offre informazioni gratuite e strumenti per analizzare e pulire il computer”.
Il dossier di Operation b70 in pdf si può scaricare qui.
Fonti: Microsoft, AGIChina.
Un video sulla filiera dell’infezione
[youtuber youtube='http://www.youtube.com/watch?v=mP4LwIPzcvU']
Pacman
Nostradamus
Magical Cat Adventure
Snake