Un nuovo attacco massivo, ma sostanzialmente innocuo, è stato scoperto nelle ultime ore contro 315 siti web, alcuni dei quali di caratura particolarmente importante. L’attacco parte da una botnet conosciuta da tempo dagli esperti del settore, ma che in questo caso non sembra poter causare effetti eccessivamente deleteri.
Colpito il sito dell’FBI così come quello della CIA; colpito il sito Microsoft, così come Google, Yahoo, Twitter e PayPal. Il tutto è addebitato all’opera della botnet “Pushdo” (anche denominata “Pandex” o “Cutwail”), una rete che fa leva su un numero non meglio precisato di pc “zombie” che possono essere attivati all’occorrenza per attacchi DDoS o per inviare spam. La rete Pushdo è conosciuta fin dal 2007, ma il nuovo attacco è qualcosa di unico nella storia della botnet in quanto porta avanti l’attacco creando rapide connessioni SSL (Secure Sockets Layer) con i siti presi di mira. Una volta attivata la connessione, avviene immediata la disconnessione per poi riavviare il ciclo a distanza di poco tempo.
Il tutto sembra voler essere una sorta di DDoS in scala minore che potrebbe arrecare problemi soltanto a siti minori. Siti come quelli di FBI, CIA, Microsoft o Google non avvertiranno problemi. Nell’elenco dei siti attaccati si annoverano nomi ulteriori quali Postini, Xbox Live o Ubuntu, ma in ognuno di questi casi l’attacco sembra essere troppo leggero e troppo poco costante per poter arrecare problemi reali ai server ed alla navigazione.
L’elenco completo dei siti sotto attacco è disponibile sul post di monitoraggio Shadow Server, ove si promette inoltre assistenza per i responsabili dei siti web interessati a tutelarsi dalla visita della botnet. Alla luce delle peculiari caratteristiche dell’attacco, SANS Internet Storm Center ha chiesto agli amministratori interessati di inviare documentazione relativa all’attacco, così da poterne approfondire eventuali aspetti non ancora venuti alla luce.
Potenzialmente più deleterio è invece un attacco di phishing che sta subendo in queste ore la sola utenza Twitter. Una serie di messaggi di avviso sarebbero infatti stati segnalati con l’indicazione di reset della password per motivi di sicurezza. La mail appare originale, ma in realtà il link per il reset permette ad utenti terzi di raccogliere le password per utilizzare in seguito a fini truffaldini.