Che cos’è una botnet? Una botnet (robot + net) è una rete di dispositivi infettati da un malware specializzato che usa la rete per scopi malevoli. Se il malware è un trojan horse, tale rete può essere controllata a distanza da un hacker, soprannominato botmaster. Al di là della definizione, qual è la genesi di una botnet? A essere coinvolti possono essere computer, server così come qualsiasi altro dispositivo mobile o installazione equipaggiata da un sistema informatico collegato in rete. Una volta infettati da un malware specializzato, questi apparati diventano bot o zombie che operano come agenti diretti del cybercrime. Il tutto all’insaputa dei legittimi proprietari.
Perché gli hacker creano una botnet?
L’obiettivo di una botnet è quello di infettare quanti più dispositivi possibile e di utilizzare la potenza di calcolo e le risorse di questi dispositivi per innescare attività automatizzate che in genere rimangono nascoste agli utenti dei dispositivi.
Perché si tratta di una rete pericolosa?
Questa tipologia di reti ha un potenziale di viralizzazione endemico: qualsiasi dispositivo entri in collegamento con la rete contaminata, infatti, può a sua volta rimanere infettato e diventarne parte. Questo avviene ad insaputa dell’utente che si ritrova a usare una macchina compromessa da un malware che, agendo nell’ombra, incorpora il dispositivo nella botnet. Così al mondo esistono botnet costituite da poche decine di zombie così come botnet che possono contare su milioni di bot.
Come un telefono o un computer possono diventare zombie bot?
Perché un computer o un telefono “sani” diventano zombie, rimanendo intrappolati in una botnet? I motivi son diversi, tutti legati a una disattenzione del proprietario del dispositivo rispetto a certe best practice di sicurezza. Questo tipo di reti, infatti, agisce sulle vulnerabilità: ad esempio a innescare l’aggancio è il non aver aggiornato e protetto adeguatamente il proprio dispositivo con le ultime versioni del sistema operativo o del browser, oppure non aver installato un antivirus opportuno, aver scaricato software illecito e così via. Così basta anche una mail infetta, il download di un programma non controllato, un exlpoit che sfrutta le falle di un sistema per diventare computer zombie.
Architettura, ecco come funziona e come agisce una rete infettata
In genere queste infezioni si diffondono attraverso malware, che agiscono proprio come un cavallo di Troia (Trojan Horse). Il malware è progettato per eseguire automaticamente la scansione di sistemi e dispositivi che intercettano le vulnerabilità (assenza di patch management ad esempio), nella speranza di infettare il maggior numero possibile di dispositivi. Il malware botnet può anche cercare prodotti di sicurezza inefficaci o obsoleti, come firewall o software antivirus obsoleti.
I computer della botnet possono sferrare attacchi contro altri sistemi così come compiere operazioni illecite che ledono la sicurezza. È così che un pc di un utente ignaro può essere utilizzato per inviare dello spam non identificato oppure, a un livello più grave, per eseguire un attacco DDoS (Distributed Denial of Service) o un attacco di phishing. Il tutto all’insaputa del legittimo proprietario. Le violazioni possono essere commissionati anche da organizzazioni criminali che, in questo modo, possono agire per diverso tempo prima che la sicurezza si accorga dell’azione malevola.
Un bot IRC – Internet relay chat (protocollo di messaggistica istantanea su Internet) è un programma indipendente che si aggancia a un server IRC come un client qualsiasi e gli altri utenti lo vedono come uno di loro, ma naturalmente è diverso da un normale client che fornisce accesso interattivo per gli utenti umani, perché esegue funzioni automatizzate. Con il passare del tempo, i bot si sono evoluti per fornire servizi speciali, come la gestione di canali per conto di un gruppo di utenti, mantenendo liste di accesso, e fornendo accesso ai database.
Esempi di botnet
Il caso emblematico? Una botnet di frodi pubblicitarie che infetta il PC di un utente per prendere il controllo dei browser Web del sistema e così deviare il traffico fraudolento verso determinati annunci pubblicitari online. Per rimanere latente, la botnet non assumerà il controllo completo dei browser Web, ma solo una piccola parte dei processi del browser, spesso in esecuzione in background. E così che è possibile inviare una quantità appena percettibile di traffico dal dispositivo infetto agli annunci mirati.
Di per sé, quella frazione di larghezza di banda presa da un singolo zombie non offrirà molto ai criminali informatici che gestiscono la campagna di frodi pubblicitarie. Tuttavia, una botnet allacciata a milioni di dispositivi sarà in grado di generare una quantità enorme di traffico falso, evitando allo stesso tempo il rilevamento da parte degli utenti che continuano a usare inconsapevolmente i propri dispositivi infetti.
È sempre più facile ed economico realizzare una botnet, basta fare qualche ricerca sul Web per verificare quante sono le opportunità offerte anche a hacker non particolarmente esperti. Gli esperti di cybersecurity rilevano infatti che vi sono criminali informatici constantemente alla ricerca di accessi vulnerabili per poi sferrare attacchi botnet Ddos.
Tra i più recenti casi di cronaca vi è per esempio GoldBrute, la botnet che si è concentrata sui server RDP (ossia con installato sistema operativo Windows e attivato il servizio di Remote desktop protocol) per renderli zombie bot da usare per cyber attack. Si tratta di una botnet invisibile in quanto è particolarmente abile a nascondere la propria attività alle soluzioni di sicurezza.
Subito prima dell’estate è stata, inoltre, rilevata Echbot, una variante della famosa botnet Mirai che ha avuto un particolare impatto sulle organizzazioni di tutto il mondo.