Un anno addietro fece molto parlare di sé “Flashback”, un malware per OS X che era in grado di infiltrarsi nel sistema visitando un sito web costruito ad hoc sfruttando una falla di Java (poi risolta da Oracle).
Biran Kerbs, un giornalista investigativo, ha indagato sul caso e scoperto che dietro il trojan in questione c’è un giovane russo che pare abbia fatto guadagnare ai siti che reindirizzavano i risultati di Google verso annunci di terze parti, migliaia dollari al giorno. Interessante la storia che ha permesso di arrivare all’autore (sfruttando, bisogna dirlo, messaggi che in gran parte sarebbero dovuti restare privati, presumibilmente inviati per conoscenza al giornalista da frequentatori e/o hacker di alcuni forum).
Kerbs ha sondato alcuni forum underground cominciando da BlackSEO.com, frequentato da esperti nell’ottimizzazione dei siti per motori di ricerca. Il primo indizio in un messaggio scambiato tra un membro VIP di BlackSEO.com e un utente denominato “Mavook”: quest’ultimo chiedeva aiuto per diventare membro di Darkode.com, altro forum “sotterraneo”. Per dimostrare le sue qualità (ed essere accettato) Mavook sosteneva nel messaggio di essere il creatore di “Flashback” per Mac spiegando di essere specializzato nell’individuazione di vulnerabilità e nella creazione di botnet.
Kerbs ha individuato un altro messaggio nel quale il membro senior del forum garantiva Mavook a un altro iscritto del gruppo alla ricerca di un exploiter di software. Il membro senior, già a conoscenza del lavoro di Mavook, alla fine scriveva: “Se Mavook non interviene, dicendo di non avere più a che fare con queste cose, scrivi di nuovo a me”.
Kerbs ha cominciato poi a seguire una serie di tracce partendo dal profilo di Mavook e non solo, scoprendo che un tempo egli era titolare di mavook.com, una home page registrata nel 2005 da Maxim Selikhanovich della città russa di Saransk. Il registrant del sito aveva usato l’email [email protected]; eseguendo una ricerca su Skype partendo da questa email, Kerbs ha individuato l’utente “Maximsd” e scoperto un secondo indirizzo di posta elettronica: [email protected], anche questo appartenente a Maxim Selikhanovich stando ai dati ricavati dall’ora non più esistente sito web saransk-offline.com.
L’indirizzo Gmail era elencato anche nei contatti del sito mak-rm.com, appartenente a “Mordovia Outsourcing Company“, una società di Saransk specializzata in gestione risorse umane con personale specializzato in Information Technology. Il dominio di quest’ultima era registrato a nome “Max D. Sell” di Saransk. Kerbs, sfruttando una sua fonte in grado di ottenere informazioni fiscali su cittadini e organizzazioni russe, ha individuato che il titolare e fondatore della “Mordovia Outsourcing Company“ era “Maxim Dmitrievich Selihanovich” un 30enne di Saransk.
Le conclusioni di Krebs, sono nate, bisogna ricordarlo, da dati messi a disposizione da società specializzate in sicurezza come ad esempio F-Secure. Un analista di quest’ultima ritiene “convincenti” le conclusioni del giornalista. La notizia evidenzia il grado di preparazione di alcuni esperti del settore e quanto èsia difficile eliminare tracce del proprio passaggio e del proprio “passato digitale”, anche per i più esperti.
Il malware Flashback sfruttava una falla di Java, da tempo accusato di essere intrinsecamente insicuro. Apple ha da tempo disattivato il framework in questione impedendo l’esecuzione automatica di applet Java dai browser, migliorando la sicurezza. Gli sviluppatori o gli utenti che hanno la necessità di usare Java possono scaricare il framework direttamente dal sito Oracle.
[A cura di Mauro Notarianni]