Il 19 gennaio di quest’anno una email con oggetto “230 dead as storm batters Europe” è apparsa nei client di posta di un numero imprecisato di computer dislocati in Europa e in America. La mail recava con sé un allegato dal nome video.exe. Tre giorni dopo, otto PC infettati su cento ospitavano Storm Worm, il più straordinario e temibile trojan mai apparso in rete.

GENESI

Nonostante sia classificato come worm, Storm è molto di più: è un collante in grado di organizzare tutti i PC sotto il suo controllo per dare vita a un network - tecnicamente noto come botnet - capace di una potenza di calcolo smisurata.
Le stime sul numero di computer infetti variano da 1.000.000 a 50.000.000, e secondo Matt Sergeant, responsabile della tecnologia anti-spam di MessageLabs, a Storm sarebbero sufficienti 2.000.000 di macchine per superare la potenza combinata di calcolo dei 500 supercomputer più potenti al mondo.

Quando viene eseguito, Storm tenta innanzitutto di connettersi ad altri host infettati tramite un protocollo peer-to-peer (lo stesso usato da eDonkey, salvo lievi modifiche). Stabilito il contatto, viene recuperato un indirizzo IP che conduce a un nuovo eseguibile. Questi, attivato a sua volta, conclude la fase di installazione scaricando i sei programmi chiave che formano Storm. Il PC diventa quindi pronto a ricevere ordini.

ORGANIZZAZIONE

Uno dei motivi che rendono difficili le stime sul numero di computer che ospitano Storm risiede nella sua relativa inattività.
Solo una piccola frazione degli host che formano il network è dedicata alla diffusione del virus, e soltanto una frazione ancora più piccola è adibita a server con funzioni command-and-control (C2), cioè al coordinamento globale di Storm. I computer rimanenti, la stragrande maggioranza, rimangono silenziosi in attesa di ordini e non danno alcun segno di attività (se non sporadicamente, come descritto più avanti).
Questo tipo di comportamento è tremendamente efficace in termini di autodifesa: se anche un host C2 venisse individuato e reso inutilizzabile, il network nel suo complesso non ne soffrirebbe perché altri host fino allora dormienti potrebbero facilmente prederne il posto.

Come se non bastasse, la struttura di Storm è distribuita. Gli host C2 comunicano con un protocollo peer-to-peer, e in linea generale ogni host è a conoscenza dell’ubicazione di un massimo di 25-30 computer infetti: localizzarne uno per risalire all’intero network non funziona.

Infine, gli host C2 adottano una tecnica chiamata fast-flux per cambiare costantemente i valori DNS che li identificano, spesso di minuto in minuto. Anche se si riesce a individuare un host C2, è assai probabile che nel frattempo sia diventato inattivo.

ATTIVITA’

“During our tests we saw an infected machine sending a burst of almost 1,800 emails in a five-minute period and then it just stopped.”
(Amado Hidalgo, ricercatore della Symantec)

La funzione primaria di Storm è quella di impadronirsi degli indirizzi email trovati sul computer ospite per generare quantità inaudite di spam diffondenti il virus. Soltanto negli ultimi tre mesi sono state individuate più di un miliardo di email generate dal botnet, con un picco di 57 milioni raggiunto il 22 agosto, quando parecchi (ma non tutti) degli host dormienti sono stati risvegliati per un breve periodo.

Ma lungi dal limitarsi a crescere, Storm ha mostrato negli ultimi tempi una spiccata propensione all’autodifesa.
Uno dei sei pacchetti che compongono il corpus di Storm è stato progettato per realizzare i cosiddetti distributed denial of service attack (DDoS), una tecnica in cui più bot inviano simultaneamente allo stesso server migliaia di richieste fittizie, fino a sovraccaricarlo e a renderlo inutilizzabile.
Ebbene, sono stati osservati casi in cui un host infetto sottoposto a scanning da un agente esterno si è difeso automaticamente scagliando un contro-attacco DDoS.
Un atteggiamento difensivo che si è rivelato ben più malevolo quando Storm ha preso a lanciare di sua iniziativa attacchi DDoS contro siti anti-spam quali spamhaus.org e 419eater.com, o quando ha attaccato il sito personale di Joe Stewart, autore di un’analisi del funzionamento di Storm.

FASE 2

“There’s some evidence that they may control hundreds of Gigabits of traffic, which is enough to force some countries off the Internet.”
(Jeff Chan, ricercatore di surbl.org)

Curiosamente, a parte crescere e attaccare chi lo attacca, Storm ha fatto poco altro. Si sospetta che il botnet sia stato “affittato” per campagne mirate di spam, ed è stato documentato qualche caso di pump and dump, poi nulla più.
L’impressione generale è che il worm sia ancora in una prima fase di crescita e consolidamento.
Ciò che succederà in una eventuale fase due è solo ipotizzabile, ma tutti gli scenari che vengono a mente sono molto spiacevoli.
Inoltre, da qualunque parte lo si guardi, Storm sembra inattaccabile e destinato a crescere ancora, almeno finché continueranno a esistere utenti che aprono allegati di provenienza dubbia.

L’unica alternativa percorribile rimane l’identificazione e la cattura di chi è dietro a tutto questo, e incredibilmente potrebbe essere un singolo individuo a reggere le fila del superverme più potente ed elusivo della rete.