Per chi non lo conoscesse, Marco Giuliani è (riprendendo fedelmente la descrizione che fa di se stesso) «studente di Informatica all’Università di Perugia», «collabora come redattore alla testata giornalistica Hardware Upgrade e collabora come ricercatore per la società di sicurezza informatica Prevx». La sua vicenda ha radici lontane nel tempo e la spiega di suo pugno sul sito pcalsicuro.com (ripresa anche dal blog ufficiale F-Secure).
Fig 1. La finestrella di Gromozon
Spiega Giuliani in riferimento alla finestrella nella fig. 1, segnalatagli da alcuni utenti: «questo messaggio compare quando si tenta di lanciare un tool, bloccato dal rootkit, tentando di rinominarlo. Per esempio, lanciando GMER rinominando il file eseguibile in “pippo.exe”, questo screen appare. L’intento mi sembra chiaro, accusarmi di essere l’autore del Gromozon, dando quindi adito a quelle voci che giravano tempo addietro quando su qualche forum straniero qualcuno mi aveva accusato di essere l’autore del rootkit.
Facendo così sembra che io abbia scritto il rootkit per bloccare gli altri software di sicurezza e per prendere i soldi della donazione per disinfettare il pc. Questo è seriamente un colpo basso».
Continua Giuliani con un nuovo post: «dopo l’attacco personale che ho avuto […] si è alzato una sorta di polverone. Ho aggiornato il mio pdf e ho avuto alcuni contatti con altre società, anch’esse ora interessate particolarmente al caso viste le numerose richieste di aiuto di clienti infetti. […] Come tutti avranno notato, per eseguire il nostro tool ultimamente è stato necessario rinominarlo manualmente perchè la stringa “Fixgrom” era bloccata dal rootkit. Questo ha creato parecchi problemi agli utenti che, non sapendo dovesse essere rinominato, si sono trovati davanti l’amara sorpresa del blocco del programma. Abbiamo così deciso di cambiare il nome del nostro removal tool in modalità casuale direttamente da server, rendendo così imprevedibile il nome del file. Ad ogni download il programma avrà dunque un nome differente». Disponibile online il tool aggiornato.
L’attacco personale sarebbe continuato con un sito web «che contiene all’interno il JavaScript che collega ad un server portatore di Gromozon, formato da tutte parole casuali unite al mio cognome per esteso o parte del mio cognome» (fig. 2).
Fig 2. Sito web con il codice incriminato
F-Secure spiega che l’autore di Gromozon è evidentemente frustrato dall’impossibilità di aggirare le difese attuate dal tool di disinfezione di Prevx ed ha così pensato di attaccare personalmente uno dei «membri attivi della comunità di quanti combattono ogni giorno per la sicurezza degli utenti». F-Secure sottolinea che mai prima d’ora una sfida in ambito sicurezza era caduta così sull’accusa personale, rendendo il caso quantomeno peculiare.
Commenta l’accaduto Marco Giuliani, sentito per un aggiornamento sulla vicenda: «temiamo che il team stia in qualche modo sondando il terreno. Le tecnologie impegate nell’attacco portato avanti da Gromozon sono particolarmente avanzate, il codice è complesso e scritto chiaramente da persone con una certa preparazione alle spalle, non certo un gruppo di ragazzi annoiati. Gromozon è attualmente impiegato per installare nel pc un adware e un dialer, ma il componente rootkit potrebbe essere sfruttato per nascondere molti altri tipi di infezioni, da un trojan sviluppato per attacchi DDoS, a backdoor da utilizzare per carpire informazioni private, ai furti veri e propri di identità digitale».