www.MegaLab.it

Che gli autori di virus, trojan, worm e malware di un paio di generazioni fa si stiano estinguendo sotto il peso dell'azione dei nuovi criminali telematici - pronti a mettere le proprie esclusive competenze al soldo di chiunque sia disposto a pagarli - è un argomento non nuovo: di quando in quando spunta un nuovo agente patogeno creato "per la gloria" e non per il portafogli, ma l'attività delle crew che con le loro creazioni hanno animato il settore già da prima ancora dell'esplosione commerciale dei PC IBM e compatibili si è ridotta a una frazione meno che marginale dell'intero ecosistema dei software malevoli.

La "scena" dei gruppi che nel corso degli anni novanta si sono combattuti a suon di hack, virus e codice Assembly altamente ottimizzato è oramai esangue, talmente anemica da non essere più in grado di produrre il materiale propagandistico generalmente distribuito per mezzo di una zine a tema. Lo sostiene il ricercatore di Symantec Peter Ferrie, che nelle sue "Note dall'Underground" sul weblog della società emette una sentenza che non permette appelli: i virus writer tradizionali sono spariti, e la scena che animavano è bella che morta.

È questa la chiave di lettura che Ferrie dà a un post sul forum di 29A, una delle suddette crew di hacker dediti allo sviluppo di virus - responsabile in particolare della creazione del primo virus per Windows 2000 e dei primi esemplari di malware in grado di girare su PDA e palmari - nel quale si annuncia la dipartita dal gruppo di roy g biv. Se lo si associa al silenzio di Vallez, inattivo da oltre un anno, il fatto non lascia dubbi al ricercatore circa la fine delle attività per la crew.

Analoga sorte appare interessare le altre rappresentanze di malware writer della vecchia scuola, EOF, DoomRiderz e rRlf, incapaci di mettere assieme abbastanza articoli, notizie, codice e informazioni a tema da distribuire con una e-zine telematica. I tre gruppi hanno annunciato una alleanza per la raccolta di materiale sufficiente a metter su una pubblicazione, ma secondo Ferrie la cosa non avverrà comunque a breve.

I nuovi sviluppi inducono l'esperto Symantec a spendere qualche parola sul presunto mito della "relazione simbiotica" tra le società di antivirus e gli autori di virus (o "AV-VX", come efficacemente sintetizza il ricercatore), a suo dire completamente sfatato dalla lenta ma inesorabile agonia di questi ultimi. "Mentre la scena VX diventa sempre più piccola di giorno in giorno - scrive Ferrie - l'industria degli AV continua a crescere. Un milione di Trojan dopo, i virus writer non contribuiscono con alcunché di significativo al nostro carico di lavoro e davvero non ci fanno fare nemmeno un soldo".

L'apparente disparità dei suddetti destini si spiega appunto con la mutazione genetica dei nuovi autori di malware, che hanno rimpiazzato la vecchia guardia dedicandosi alla creazione di botnet da affittare ai criminali desiderosi di investire nel cyberspazio, magari sulle sempre lucrative attività di spamming, attacchi DDoS verso siti dalla popolarità sostenuta o minacce dirette verso target ben definiti come ben esemplifica il caso Gromozon.

L'evoluzione dei software malevoli, passati da lavori rudimentali a vere e proprie opere di ingegneri professionisti, dediti alla ricerca&sviluppo di nuove soluzioni per far danni o prendere il controllo di un numero sempre più vasto di PC zombi, è poi ampiamente dimostrata dai casi eclatanti dello Storm Worm o di Nugache.

Quest'ultimo porta in dote una trasformazione che preoccupa in modo particolare i ricercatori: il trojan è un vero è proprio concentrato di tecnologia per il Peer-to-Peer cifrato, che al posto di DivX ed MP3 scambia in continuazione comandi e pezzi di malware tra i peer divenuti parte del network malevolo. Ma a renderlo particolarmente pericoloso sono la sua totale indipendenza da un server centrale da cui partono gli ordini - definito "centro di comando&controllo" - la capacità di mutare in continuazione rimanendo sempre se stesso e quella di spegnere periodicamente intere porzioni della rete, per poi riattivarle alla bisogna.

I malware Storm e Nugache, avvertono i ricercatori, non sono altro che la punta di un iceberg ben più grosso, dove le crew hanno lasciato il posto ai laboratori specializzati attualmente al lavoro su trojan, rootkit e worm fatti "su misura", per criminali animati non tanto dal desiderio di mettere su una rete di zombi a livello mondiale come quella dello Storm Worm, ma piuttosto quanto dallo scopo di attaccare in maniera mirata istituti finanziari e altre organizzazione che hanno la loro ragion d'essere nei portali di rete.