Come un ricercatore italiano ha hackerato una botnet criminale

Lo scorso 31 agosto, Marco Ramilli, ricercatore di sicurezza informatica e co-fondatore dell’azienda di cybersecurity Yoroi, ha pubblicato sul proprio blog un’operazione di contrasto a un’estesa botnet che aveva l’obiettivo di sottrarre credenziali di accesso e informazioni riservate dalle proprie vittime. L’azione di contrasto, però, non si è fermata solo a questo: Ramilli è riuscito ad hackerare direttamente i colpevoli, ottenendo l’accesso alle loro mail e al pannello di controllo dei server utilizzati per gestire la botnet.

Secondo quanto riportato nel suo post, il numero delle vittime della botnet si aggira intorno alle diverse migliaia, di cui 47% negli Stati Uniti, seguito poi dal 29,3% in Canada e il 7.3% in Italia. Il 26 e il 27 agosto Ramilli ha prontamente comunicato le informazioni ottenute alle forze dell’ordine e ai centri di risposta per le minacce informatiche — CERT e CSIRT — delle varie nazioni coinvolte.

La sua analisi è iniziata da un file zip allegato ad una mail chiamato “Nuovo Documento1.zip” che conteneva al proprio interno uno script in VisualBasic, debitamente offuscato, e che aveva il compito di evitare l’identificazione da parte di diversi antivirus — come quelli prodotti da Kaspersky Lab, Panda Security e Trend Micro. Da lì, il primo stadio avrebbe scaricato un secondo stadio che a sua volta scaricava l’effettivo payload del malware. Tutti gli stadi, sottolinea Ramilli nel suo post, erano protetti contro le analisi di reverse engineering.

Il malware si connetteva poi con un server di comando e controllo — in gergo chiamato C2 — che è costituito da due livelli: il primo di questi, però, presentava una vulnerabilità che Ramilli ha utilizzato per crearsi una reverse shell e poter così eseguire comandi sul server. In questo modo ha potuto scaricare il codice di funzionamento del C2 — al cui interno è stato possibile rintracciare termini in cirillico.

È a questo punto che le parti si sono invertite dando il via all’azione di contrattacco del ricercatore italiano. Nel suo post, infatti, spiega che: “Secondo la missione di Yoroi (difendere i propri clienti), ho deciso di andare oltre e cercare di difendere le persone e/o le aziende infette entrando nell'intera rete e collaborando con le autorità locali per chiuderla, ottenendo quante più informazioni possibili per aiutare la polizia federale e locale a combattere questo crimine informatico.”

Ramilli, infatti, è entrato in possesso della lista di indirizzi IP infetti ed è persino riuscito a ottenere i dati di accesso alla mail degli hacker da cui ha trovato le credenziali per il pannello di controllo dei server che gestiscono tutta la rete, avendo così chiara l’infrastruttura generale della botnet.

Questa vicenda porta alla mente la discussione internazionale — riaccesa di recente da una legge proposta negli Stati Uniti — riguardo la possibilità di attaccare direttamente gli hacker che hanno colpito un’azienda, cercando di porre fine alle loro operazioni: questa pratica prende il nome di “hacking back.” Le maggiori preoccupazioni, però, sono legate agli effetti collaterali: anche i dispositivi di vittime innocenti che sono diventate delle marionette nelle mani degli hacker malevoli potrebbero finire vittima del contrattacco.

“In Italia, il tema dell’hacking back ancora non è arrivato in realtà,” afferma Stefano Zanero, professore di sicurezza informatica presso il Politecnico di Milano, contattato da Motherboard telefonicamente.

Inoltre, aggiunge Zanero, “quello che ha fatto Ramilli non è propriamente definibile come hacking back, si trova più in un’area grigia.” Secondo quanto descritto nel suo post, infatti, si tratterebbe solamente dell’utilizzo di una vulnerabilità di un pannello di controllo per poter avere informazioni aggiuntive su quella botnet. “Non ha preso il controllo della botnet o distrutto qualcosa che stava sul server,” chiarisce Zanero, “eticamente ha fatto qualcosa di molto comprensibile e assennato.”

“È un uso molto limitato di una tecnica di hacking back in cui si sfrutta una debolezza per cercare di avere più informazioni su chi fossero le persone dietro questa botnet,” conclude Zanero.

In questo caso, quindi, Ramilli sembra camminare su un filo molto sottile che lo separa dalla vera e propria ritorsione digitale per legittima difesa. E questo caso, probabilmente, comincerà a far parlare di hacking back anche in Italia.