.:: Securnetwork.net Blog – Massimo Rabbi ::.

Giovedi’ 26 marzo, Channel 4 News ha rivelato che il sistema informatico del Parlamento britannico è stato vittima del worm Conflicker.

A parte la conferma dell’attacco subito, nessuna informazione aggiuntiva (es: durata e origine) è stata riportata dai portavoce del parlamento.
Quando è stato chiesto dai giornalisti di Channel 4 la data dell’ultimo aggiornamento del sistema antivirus della rete parlamentare, la risposta è stata un secco “no comment”.
Appare abbastanza chiaro che poichè la maggior parte dei produttori antivirus e antispyware hanno rilasciato firme aggiornate per questo malware sin da novembre 2008, gli aggiornamenti non sono stati effettuati dal personale con regolarità.
Questo fatto lascia alquanto perplessa l’opinione pubblica sulle competenze del personale IT del Parlamento.
Tuttavia la “nota positiva” è che almeno qualcuno aveva l’antivirus aggiornato visto che Conflicker è stato rilevato.

Alla scoperta dell’attacco è stata inviata una mail a tutto lo staff parlamentare con un testo del genere: “Chiediamo dunque che, se si sta utilizzando un PC o computer portatile non autorizzato ad essere connesso alla rete, venga immediatamente disconnesso”.
A quanto pare non è un fenomeno tanto strano (e sconosciuto) che vengano collegate delle macchine prive di autorizzazione, controlli antivirus o firewall.

Qualcuno ha suggerito che l’attacco del worm possa essere in qualche modo legato al summit G20 che si terrà nella città di Londra la prossima settimana.
Pare infatti che il codice di Conflicker contenga una particolare data di attivazione per il 1 aprile, giorno in cui il creatore della botnet dovrebbe prenderne controllo per non si sa quale scopo.

RIFERIMENTI E APPROFONDIMENTI:
* Conficker infects UK parliament: news by Heise Security
* Worth Reading: An Analysis of Conficker-C, by Heise Security.
* Tools to remove Conficker, report by Heise Security.
* Conficker modified for more mayhem, report by Heise Security.