Crea sito

Individuato l’autore del virus che ha infettato 650 mila Mac

6 aprile 2013

Virus informatico

Giornalista, blogger e specialista in sicurezza informatica o, romanticamente, cacciatore di hacker “cattivi”, Brian Krebs avrebbe smascherato l’autore del virus che ha infettato 650 mila sistemi Apple . Ancora oggi, a un anno dalla distribuzione di un aggiornamento software in grado di fermarlo, il trojan battezzato Flashback colpisce 38 mila Mac: un orgoglio per il suo presunto programmatore, il trentenne russo Maxim Selikhanovich. Come lo avrebbe scoperto Krebs? In pratica… è stato lui a metterlo nel “curriculum”.

La storia inizia con l’individuazione del virus da parte dei laboratori finlandesi di F-Secure. Il malware si “fingeva” un aggiornamento del player di Flash, necessario per visualizzare molti siti e video realizzati, appunto, con tecnologia Flash. Questo modus operandi gli è valso il nome, ma la fama se l’è conquistata grazie alle sue malvagie qualità: sfruttava una vulnerabilità nella versione di Apple di Java ed era in grado di eludere XProtect, il sistema di sicurezza preinstallato su OS X. Inoltre era capace di riconoscere quando era in esecuzione in un ambiente virtuale. L’ambiente virtuale dovrebbe consentire di attivare le potenzialità negative di un malware senza che questi entri in contatto, effettivamente, con il sistema del computer, e, in tal modo, smascherarlo. Ma se il virus “se ne accorge” e non si svela, per gli esperti di sicurezza è un bel grattacapo.

Una volta installato, tra le altre cose, il virus indirizzava su una falsa pagina di Google che dava risultati truccati, commissionati dai finanziatori del malware. I ricercatori hanno stimato che il creatore di Flashback avrebbe guadagnato fino a 8.000 euro al giorno. Tutto ciò ha solleticato il fiuto investigativo di Krebs, che si è messo in caccia su un forum in lingua russa, dedicato al cosiddetto “Black hat SEO”, di cui la persona sospettata della creazione del malware è stato fondatore e membro attivo.

Krebs è qui riuscito a ottenere, in luglio, l’accesso a una chat privata tra un utente VIP che si fa chiamare Mavook e un importante membro del forum BlackSEO.com, in cui Mavook chiedeva di accedere a un forum in lingua inglese, chiamato Darkode.com, dedicato al cybercrimine. Quando gli è stato chiesto un nickname e una breve nota biografica da mettere nel suo nuovo profilo, Mavook ha scelto di farsi chiamare, con indubbio umorismo, Macbook, e ha inviato quanto segue: “Creatore di botnet Flashback per Mac”, aggiungendo che si è specializzato in “ricerca degli exploit e la creazione di bot”.

Secondo il suo profilo, Mavook è stato un membro del BlackSEO dal 2005 (il ventiquattresimo su migliaia) e ha già avuto una home page registrata presso mavook.com. Utilizzando uno strumento online che gestisce un elenco storico delle iscrizioni dei siti web, Krebs ha potuto scoprire che mavook.com è stato registrato da Maxim Selikhanovich a Saransk, capitale della Mordovia, una repubblica nella regione orientale della pianura orientale della Russia, tristemente nota, in passato, per ospitare gulag e campi di prigionia. A ulteriore conferma, Krebs ha trovato una connessione tra mavook.com e una società di IT-outsourcing e web design a Saransk, la Mordovia Outsourcing.

Grazie a quella che il giornalista definisce una “fonte attendibile”, in grado di trovare informazioni fiscali sui cittadini e le imprese in Russia, è emerso che la società è stata registrata e fondata, indovinate, da Maxim Dmitrievich Selihanovich, 30 anni, abitante di Saransk, in Mordovia.

Nel campo del cyber crimine, si sa, i millantatori non mancano. Ma, come negli ambienti della mala, può anche essere rischioso attribuirsi imprese altrui. Quel che è certo è che il curriculum di Mavook alias Selihanovich ha tutte le caratteristiche per essere credibile. E se così fosse Krebs avrebbe fatto un bello scoop.