La caccia a malware e ransomware è aperta!

Quando parliamo di innovazione e ci rallegriamo della democratizzazione dell’informatica, spesso ci dimentichiamo che anche gli utenti che agiscono in malafede possono approfittare dei vantaggi della rete. Nonostante i progressi degli Antivirus, lanciare un malware o un ransomware non è mai stato così semplice. Da più di un anno ormai anche OVH contribuisce a rendere il Web più sicuro, individuando i programmi malevoli per risalire, quando possibile, ai loro autori e scoraggiarli ad agire sulla sua rete. Capiamo di più con Frank Denis, esperto in sicurezza del Security Operation Center (SOC) di OVH, un team di oltre 20 persone che operano su tre continenti.

I malware, un problema più diffuso degli attacchi DDoS

Si parla continuamente degli attacchi DDoS, che colpiscono i server con una frequenza e un'intensità sempre crescente. Tuttavia, oggi questi attacchi possono essere gestiti in modo efficace grazie ai sistemi realizzati da OVH per individuarli e mitigarli (cioè ridurre al minimo le conseguenze di un attacco tramite l'aspirazione del traffico illegittimo). Naturalmente questi sistemi di protezione hanno un costo elevato, a cui va aggiunto quello relativo alla capacità di rete in eccedenza di cui OVH ha bisogno per assorbire gli enormi volumi di richieste senza conseguenze per gli utenti. Globalmente il fenomeno degli attacchi DDoS può essere contrastato solo con le giuste risorse — materiali e umane — perchè questa battaglia impone di restare costantemente all'erta per individuare i nuovi tipi di attacco e reagire prontamente, aggiornando il codice degli algoritmi allabase dei sistemi di protezione. Una vera e propria sfida, soprattutto per l’anti-DDoS Game.

Ma la sfida che il team SOC di OVH ha deciso di accogliere un anno e mezzo fa riguarda un problema ancora più subdolo: rallentare la proliferazione di malware e ransomware, programmi malevoli particolarmente in voga da tre anni a questa parte [vedi riquadro]. Questi software infettano i computer e i server e vengono utilizzati per cifrare i dati e ricattare i loro proprietari o trasmetterli a soggetti terzi, con un' organizzazione talmente complessa da non avere nulla da invidiare a quelli della finanza offshore. Altre volte lo scopo è prendere il controllo delle macchine e creare una rete botnet per generare attacchi DDos distribuiti. Per risalire fino agli autori di questi programmi, originari soprattutto dei Paesi dell'Est (in particolare Russia e Ucraina), Frank Denis deve giocare d'astuzia, prendono in prestito processi propri all'informatica, come il reverse engineering, e tecniche di polizia vecchio stile, come nascondigli e flagranza di reato.

Trappole per malware e reti per Spam

Basandosi sul principio della trappola per topi, che attira i roditori indesiderati con un pezzo di formaggio, OVH ha disseminato intenzionalmente sulla sua rete alcune macchine molto semplici da violare. "Queste macchine registrano tutte le azioni effettuate, permettondoci di comprendere meglio in che modo i server dei nostri utenti sono vittima di hacking e per quali fini vengono utilizzati in seguito". Inoltre, OVH ha creato e "dato in pasto" al Web (forum, mailing list...) migliaia di indirizzi email validi e domini completi, in modo che siano letteralmente riempiti di Spam. Non resta che ritirare regolarmente le reti: "Le email ricevute vengono esaminate. Quelle che contengono allegati interessanti sono registrate, raggruppate e analizzate. In questo modo possiamo conoscere le campagne in corso e individuare quelle che interessano server presenti all'interno delle infrastrutture OVH".

Frank spiega che ha messo a punto un ambiente, basato su macchine virtuali effimere (sandbox), che consente di osservare le azioni dei malware senza contaminare la rete locale o infettare realmente una macchina. Un certo numero di operazioni sono automatizzate, ma l’analisi è in gran parte affidata a esseri umani. "Il Machine Learning non funziona ancora abbastanza bene per automatizzare il blocco dei malware, che si evolvono continuamente per limitare il rischio di essere individuati".

Indagini a lungo termine

Una volta raccolti gli indizi, le indagini possono iniziare. Sono inchieste complesse perché, quasi sempre, il topo che ha morso il formaggio l'ha fatto a sua insaputa: "Nella maggior parte dei casi si tratta di un server che è stato infettato e riconfigurato per agire in modo malevolo, ad esempio diventando il supporto di una pagina di phishing destinata a raccogliere informazioni bancarie prima di trasmettere i dati rubati a un altro server. Le reti di bot sono vaste e complesse: alcuni server diffondono malware e controllano le macchine infette, altri recuperano le informazioni e giocano il ruolo di proxy, trasmettendo le connessioni verso una terza macchina con una VPN, poi a una quarta tramite rete Tor..." Ovviamente, i server sono distribuiti presso diversi provider, in datacenter geograficamente distanti e vincolati a legislazioni differenti.

Quando una macchina di OVH presenta tutte le caratteristiche di un server implicato nella distribuzione di malware, nel controllo delle macchine infettate o nell'estrazione dei dati – il livello superiore del botnet (rete di computer infetti) –, la possibilità di intervenire direttamente è molto limitata: OVH, infatti, non può accedere ai dati salvati sull'hard disk del server. In questo caso, Frank informa le autorità competenti che, se necessario, possono dare inizio alle inchieste giudiziarie. Queste inchieste consisteranno inizialmente nell'identificazione dell'amministratore del server tramite requisizione, per determinare il suo grado di implicazione: è una vittima colpevole di negligenza o un complice della rete criminale? In un secondo momento le autorità procedono eventualmente all'analisi degli hard disk o a effettuare intercettazioni. Sono operazioni eseguite in un quadro molto ristretto e sotto il controllo di un magistrato e del dipartimento giuridico di OVH. "Grazie alle analisi di informatica forense e agli accordi di cooperazione internazionale, i servizi di Polizia tentano poi di arrivare fino al cuore del botnet per smantellare le reti criminali che ne sono all'origine e ne traggono profitto, spesso finanziando anche altre attività criminali esterne al cyberspazio". L’azione di OVH e delle autorità giudiziarie sono complementari: "Il nostro lavoro consiste nell'identificare, sulla base di caratteristiche tecniche specifiche, le macchine situate al livello superiore delle reti cybercriminali all'origine delle campagne di malware. La Polizia, invece, si occupa delle indagini e, grazie alla nostra collaborazione, può concentrare le sue ricerche sulle macchine più interessanti".

Analisi della memoria di un server infettato da Locky, che mostra gli indirizzi IP delle macchine contattate dal malware per recuperare una chiave che permette la cifratura dei dati.

Reverse engineering per individuare più velocemente gli hack

"Da parte nostra, tranne nel caso in cui le autorità ci chiedano di lasciare temporaneamente attivi i server che diffondono alcuni ransomware per raccogliere prove, prendiamo tutte le misure necessarie ad arrestare la propagazione dei software malevoli, il furto e la ricettazione di dati utilizzando macchine situate nel nostro perimetro di competenza".
Quando il server di un cliente OVH è vittima di hacking, il proprietario viene avvertito ed esortato a correggere il bug, pulire o reinstallare la sua macchina per evitare la sospensione del server da parte di OVH. Lo stesso in caso di recidiva. "Ad esempio, quando un'instanza WordPress subisce un attacco, forniamo al cliente la lista delle pagine che sono state aggiunte e segnaliamo le modifiche apportate nel codice del sistema per creare le backdoor utilizzate dagli hacker". Non sempre, però, OVH conosce l’identità del cliente finale che gestisce un server compromesso: alcune volte, infatti, il server viene rivenduto da un intermediario ai propri clienti. "In situazioni di questo tipo contattiamo il rivenditore in modo che avvisi l'amministratore del server. In caso di mancata risposta o se, utilizzando controlli incrociati, ci accorgiamo che il rivenditore colloca le macchine in reti cybercriminali, interrompiamo immediatamente il contratto sottoscritto. Per esperienza, il 99% delle volte i cybercriminali non noleggiano i server direttamente presso i provider, ma utilizzano intermediari. In questo tipo di situazione siamo particolarmente intransigenti".

Tracciare i cybercriminali è necessario, ma è un lavoro molto impegnativo. Accontentarsi di intervenire solo in seguito a segnalazioni – politica seguita dalla maggior parte degli ISP – è spesso inefficace: gli URL trasmessi non sono più validi, i server in questione sono stati restituiti e il grosso della campagna di malware è già passato... senza considerare le segnalazioni errate! "Bisogna puntare su due azioni: sensibilizzare i nostri clienti e scoraggiare i cybercriminali ad agire sulla rete OVH". Ed è a questo punto che Frank depone le vesti di investigatore per riprendere quelle di ingenere informatico. "L'altra parte del mio lavoro consiste nell'effettuare del reverse engineering sui malware caduti in trappola o segnalati da altri ricercatori di sicurezza". Lo scopo è adottare un approccio proattivo, per captare i segnali deboli che annunciano le nuove tecniche di azione e tagliare l'erba sotto i piedi dei cybercriminali, "senza ricorrere a metodi intrusivi e automatizzando al massimo le nostre modalità di azione per aumentare la nostra efficacia", precisa Frank. "A fine 2015, un malware bancario ha iniziato a essere propagato a partire dai server ospitati in gran parte in OVH. Siamo riusciti a capire in che modo i server infetti erano stati configurati per arrecare danno e abbiamo potuto agire ancor prima che venissero utilizzati. Risultato: questo malware non è più tornato. Rilevare i malware prima che entrino in circolo è ancora più sconfortante per i cybercriminali".

Sensibilizzazione degli utenti per minimizzare il fattore umano

Anche sul fronte della sensibilizzazione c'è molto da fare. All’origine di un'infezione, infatti, c'è spesso un errore umano o quanto meno una mancanza di controllo. Per i computer personali, le email risultano essere un vettore di contagio ancora molto efficace, distanziato di poco dai banner pubblicitari malevoli (malvertising) e dallo sfruttamento di bug nel software (exploit kits). Per i server, invece, possiamo distinguere due categorie di amministratori responsabili: quelli che lasciano le chiavi nella toppa, utilizzando password troppo semplici, e quelli che vivono con le finestre aperte, dimenticando di aggiornare costantemente la versione di WordPress o Joomla!, per citare i CMS più colpiti. "Questo non avviene perché il codice di queste applicazioni è sviluppato particolarmente male, ma perché il loro utilizzo massivo suscita l'attenzione degli hacker, che cercano - e trovano - i bug. Gli hacker sono come tutti: tengono ad essere efficaci".

Naturalmente, i bug di sicurezza più utilizzati sono individuati abbastanza in fretta ma effettuare uno scan della rete in Francia è illegale e, qualora causasse malfunzionamenti sull'applicazione ospitata, OVH sarebbe ritenuta responsabile. Di conseguenza, è molto difficile eseguire azioni preventive... "Facciamo il massimo. Ad esempio, quando veniamo a conoscenza del furto di identificativi e password e della loro diffusione su forum specializzati o su server che raccolgono le informazioni rubate, identifichiamo e avvisiamo immediatamente i clienti coinvolti".

OVH potrebbe pensare di ricorrere a un'analisi passiva della rete, cioè osservare il traffico di rete senza interferire, contrariamente allo scan che interroga le macchine una ad una. "L'analisi passiva è relativamente semplice da eseguire su reti piccole, ma su reti di grandi dimensioni come quella di OVH è tutta un'altra storia. Non è impossibile, ma complesso". Altra pista: rilevare gli hack e segnalarli immediatamente ai proprietari dei server, utilizzando stavolta i sistemi di monitoring installati di default sui server dedicati. È un metodo efficace, ma non infallibile: i malware possono essere codificati in modo da disattivare questi sistemi o modificare i controlli effettuati... Frank consiglia anche di utilizzare i sandbox, che permettono di eseguire i file sospetti in un ambiente isolato, per osservare come si comporta l'applicazione. Ma anche questa soluzione non è in grado di risolvere qualsiasi problema: "I malware possono rilevare i sandbox per alterare il loro comportamento. Esistono costantemente nuove tecniche per individuare i sistemi di sicurezza..."

Quindi combattere è inutile? "Non esattamente, taglia corto Frank. Saremo sempre alla mercé di attacchi mirati, per i quali non esistono modelli da seguire per definizione, e attacchi che sfruttano gli errori umani. Detto questo, grazie al nostro lavoro, OVH è in grado di rendere le attività criminali un pò più difficili e onerose. Per rendersi conto di essere tracciati e realizzare che riusciamo a trovare e sospendere una parte dei server e dei domini utilizzati per le attività illegali, i criminali sono obbligati ad aggiornare le loro infrastrutture. Questo non rappresenta certo un ostacolo per coloro che traggono un reale profitto da questo tipo di attività: andranno a cercare altrove. Ma per altri, costituisce un freno". E un modo per OVH, leader europeo del Cloud con 250.000 server e oltre un milione di clienti, di far tendere allo zero la proporzione dei suoi clienti implicati in attività illegali, in difesa della stragrande maggioranza che utilizza invece i suoi servizi per progetti assolutamente legittimi.

Il Machine Learning per discriminare gli hacker che ordinano un server

Se è molto difficile modellare pattern che permettono di individuare i malware prima che entrino in circolo (a causa della loro diversità e della loro continua evoluzione), OVH è fortemente decisa a utilizzare il Machine Learning per elaborare l'identikit dell'hacker tipo e bloccare una buona parte dei clienti che speravano di utilizzare i servizi OVH per ospitare malware o dedicarsi ad altre attività illecite. Grazie al Big Data, OVH studia a posteriori le caratteristiche degli account degli utenti che sono state confuse con attività illecite, paragonandole agli account degli utenti legittimi. Questo permette di svelare punti in comune, comportamenti simili e rendere più efficaci le macchine che smistano i nuovi ordini e ne sollecitano l'analisi umana in caso di sospetto.