Insieme ad Antonio Pirozzi abbiamo presentato BOTCHAIN, la prima botnet completamente funzionante basata sul protocollo Bitcoin
L’esperto di sicurezza Antonio Pirozzi, direttore del laboratorio di analisi malware ZLab della mia azienda Cybaze, ha presentato la scorsa settimana alla conferenza EU Cyber Threat Summit 2018 tenutasi a Dublino, i risultati di una ricerca condotta con me sui possibili abusi della tecnologia blockchain per finalità criminali.
Sempre con maggior frequenza leggiamo di blockchain e dei possibili impieghi di questa tecnologia nei più disparati settori, compreso quello della sicurezza informatica. La tecnologia blockchain tuttavia potrebbe essere abusata da varie tipologie di attori malevoli per differenti scopi, dalla distribuzione di contenuti illegali alla implementazione di sistemi di controllo di codici malevoli.
Nella presentazione dal titolo “BOTCHAIN aka The Dark side of Blockchain,” Pirozzi ha mostrato come sia possibile utilizzare la blockchain del popolare sistema di criptovaluta Bitcoin per gestire una botnet, chiamata dai due esperti BOTCHAIN.
La blockchain è un libro mastro elettronico pubblico che può essere condiviso apertamente tra gli utenti e che attraverso complessi processi crittografici consente la creazione di una registrazione immutabile delle loro transazioni.
Ciascuna transazione digitale, blocco, è contrassegnata da una marca temporale ed è collegata alla precedente. “La blockchain può essere aggiornata solo con il consenso dei partecipanti al sistema e contiene una registrazione autentica e verificabile di ogni singola transazione effettuata nel sistema.”
Decentralizzazione, trasparenza, sicurezza ed immutabilità rendono la blockchain una soluzione tecnologica di elevato interesse per diverse applicazioni (e.g. applicazioni sanitarie, tracciabilità della supply chain, contratti intelligenti, gestione delle identità), ma al tempo stesso potrebbe essere sfruttata dai criminali informatici per molte attività malevole.
Pirozzi ha illustrato come i criminali informatici hanno già sfruttato in passato la blockchain per attività illegali, come nel caso del popolare sito web Joker’s Stash, specializzato nella vendita di dati di carte di pagamento rubati, che implementò un sistema DNS peer-to-peer basato appunto su blockchain.
Pirozzi ha citato un altro studio recentemente condotto dai ricercatori della RWTH Aachen University (Germania) che dimostra come la blockchain possa essere utilizzata come deposito permanente per qualsiasi tipo di dati, anche materiale illegale come contenuti pedopornografici e propaganda terroristica. I ricercatori hanno analizzato le transazioni Bitcoin e trovato almeno 274 link a contenuti relativi ad abuso di minori o collegamenti a servizi nel dark web.
La nostra ricerca ha dimostrato come si possa abusare della blockchain per scopi illegali come l’implementazione di una botnet.
“I criminali informatici potrebbero abusare del campo” OP_RETURN “di una transazione Bitcoin per implementare meccanismi di controllo di una malware, impartire comandi ai bot o realizzare vettori di distribuzione di codici malevoli come presentato anche durante la conferenza Black Hat ASIA nel 2016 da Christian Karam dell’INTERPOL e VITALY Kamluk di KASPERSKY” ha spiegato Pirozzi.
La nostra ricerca dimostra che è possibile abusare della tecnologia blockchain per impostare un meccanismo di comando e controllo per un malware che sfrutta la blockchain. BOTCHAIN è la prima Botnet completamente funzionale basata sul protocollo Bitcoin. Molti attori malevoli, compresi i gruppi APT, hanno già capacità tecniche per sviluppare questo tipo di botnet, per questo motivo, è fondamentale esplorare il modo in cui gli attaccanti possono abusare della tecnologia blockchain.
Pirozzi ha spiegato che in passato altri team di ricercatori hanno esplorato la possibilità di utilizzare la tecnologia blockchain come infrastruttura di controllo di una BOTNET, tra i principali studi ricordiamo ZombieCoin, Botract e UnblockableChains, i primi due dei quali sono basati su Ethereum.
“BOTCHAIN è la prima BOTNET completamente funzionante basato sul protocollo Bitcoin, diversamente da altre botnet, BOTCHAIN, ha caratteristiche di alta disponibilità perché gli zombi non hanno alcun indirizzo C2 hardcoded, gli operatori potrebbero usare qualsiasi wallet come C2, a differenza di Zombiecoin BOTCHAIN usa un servizio nascosto per l’individuazione dinamica del sistema di comando e controllo, come già visto per la BOTNET SKYNET nel 2012 “. Ha spiegato Pirozzi.
“Nel corso dell’anno i truffatori hanno adottato tecniche diverse per creare topologie più resilienti e nascoste per le loro botnet, da semplici IRC o HTTP a UDP su TCP o P2P Network o DGA. Tutte queste tecniche sono vulnerabili alle azioni condotte dalle forze dell’ordine e dalle aziende di sicurezza una volta che la topologia della rete è stata scoperta. In questo PoC, la scoperta e l’analisi di un singolo BOT non espongono l’intera botnet o parte di esso”.
Gavin Andreson, capo scienziato presso la Bitcoin Foundation, ha dichiarato che “l’utilizzo di Command & Control basati sulla blockchain è “molto costoso” a causa dei costi associati alle transazione che gli hacker dovrebbero sostenere. Ha anche notato che gli operatori di botnet non vogliono che ci sia alcuna registrazione permanente dei loro crimini “.
“Naturalmente, l’aspetto economico per una botnet basata sulla blockchain di Bitcoin è tutt’altro che trascurabile. Lo abbiamo analizzato nella nostra ricerca e posso dirvi che non rappresenta un problema insormontabile per attori persistenti che vogliono utilizzare questa soluzione in attacchi mirati.” Ha aggiunto Paganini.
Secondo alcuni esperti di sicurezza ed esponenti delle forze dell’ordine i criminali informatici potrebbero iniziare ad abusare della Blockchain per attività illegali.
Secondo alcuni esperti di sicurezza ed esponenti delle forze dell’ordine i criminali informatici potrebbero iniziare ad abusare della Blockchain per attività illegali.
La ricerca include alcuni suggerimenti diversi spunti di rflessione per future ricerche volte alla mitigazione di questa tipologia di minacce.
Una possibile soluzione per mitigare la minaccia consiste nell’utilizzare blacklist per i minatori malevoli al fine di evitare la convalida dei blocchi in cui risiedono contenuti malevoli, ma il problema aperto rimane l’identificazione di queste blocchi specifici che potrebbero essere molto difficili da identificare a causa dell’introduzione di meccanismi di offuscamento .
Molti esperti ritengono che i computer quantistici consentiranno la modifica dei dati all’interno delle transazioni registrate nella blockchain, ma ciò non è oggi possibile e probabilmente l’introduzione della crittografia quantistica lo impedirà.
Al momento è impossibile distruggere la comunicazione tra bot e sistemi di comando e controllo anche se siamo in grado di identificare le transazioni coinvolte, questo aspetto deve essere attentamente analizzato.
Sotto un video che mostra la BotChain in azione pubblicato dai due ricercatori di Cybaze
