Che cos’è una Botnet?

Una botnet è un insieme di dispositivi controllati dai cybercriminali per attaccare un bersaglio. Il termine “botnet” deriva dalla fusione delle parole “robot” e “network” a rappresentare la natura di un cyberattacco tramite botnet. I malware botnet sono stati utilizzati nei più devastanti attacchi DDoS (Denial-of-service) che hanno mandato in tilt le più grandi organizzazioni e infrastrutture di rete.

Per ottenere il controllo di tanti dispositivi, i cybercriminali devono prima spingere gli utenti ad installare malware nei propri sistemi. Molti dei malware utilizzati a questo scopo sono distribuiti gratuitamente, perciò i cybercriminali intenzionati a causare danni e mettere ko sistemi e infrastrutture, non hanno bisogno di sviluppare i propri software malevoli. Ad esempio il malware Mirai, che prende di mira i sistemi IoT basati su Linux come router, Ip cam, e tutti i vari dispositivi utilizzati nell'ambito della domotica.

Tali malware danno ai cybercriminali la possibilità di controllare sistemi Linux per colpire e paralizzare un bersaglio con una valanga di traffico internet. Questa botnet fu utilizzata creando disservizi su larga scala, e generando traffico internet fino a 1 Tbit/s, contro aziende come Krebs on Security, il servizio di web hosting francese OVH, e soprattutto il provider DNS Dyn, servizio critico per le normali comunicazioni internet. Il malware Mirai è considerato il primo nel suo genere, e nonostante i creatori vennero identificati e consegnati alle autorità, molte nuove varianti sono apparse in seguito, come i malware Okiru, Satori, Masuta, e PureMasuta.

Un utente può essere spinto ad installare inconsapevolmente malware sul proprio computer, oppure il malware può venire installato sfruttando le vulnerabilità del sistema.

La minaccia dei malware botnet

Tramite i malware per dispositivi IoT, i cybercriminali scansionano migliaia di dispositivi, a caccia di sistemi vulnerabili o non aggiornati. I dispositivi sprovvisti di meccanismi automatici di patching utilizzano con tutta probabilità firmware vulnerabili, che lasciano i dispositivi esposti agli exploit, rendendoli bersagli perfetti per i malware botnet.

Una volta infettati un numero sufficiente di dispositivi, un attaccante può attendere il momento ideale per inondare di traffico il suo bersaglio. La rete di dispositivi infetti viene detta “zombie network” o “zombienet” per il fatto che tali dispositivi restano silenti fin quando l'attaccante non invia un comando di attivazione ai dispositivi compromessi. Il malware è programmato per rimanere inattivo e non individuabile sul dispositivo finché non riceve il comando.

I malware botnet offrono spesso a chi li controlla, una dashboard command-and-control tramite cui è possibile vedere il numero di dispositivi compromessi e dar loro il comando di inviare simultaneamente traffico DoS (Denial-of-service) verso il bersaglio prescelto. Quando un dispositivo compromesso invece non riesce a comunicare con il server command and control centrale, non può essere utilizzato per l'attacco.

Grazie alla possibilità di ottenere il controllo di dispositivi remoti, le botnet vengono sfruttate dai cybercriminali per molti tipi di attacchi. Alcuni mirano ad espandere la rete di dispositivi compromessi, mentre altri lanciano attacchi DDoS per interrompere servizi online. Le botnet sono particolarmente pericolose per la rete Internet, dal momento che sono in grado di mettere ko servizi critici ed applicazioni web utilizzate da milioni di utenti.

Alcuni degli attacchi botnet permettono di:

• Leggere e scrivere dati di sistema: Un attaccante può comandare ai dispositivi di inviare file a un server centrale per essere analizzati alla ricerca di dati sensibili. File di sistema delicati potrebbero contenere credenziali codificate per l'accesso ad un'infrastruttura, aumentando la superficie di attacco sfruttabile dai cybercriminali per compromettere un'organizzazione.
• Monitorare l'attività dell'utente: I software utilizzati per le botnet includono spesso altri malware che possono essere utilizzati per altri distinti attacchi. Ad esempio, non è insolito per questi tipi di malware includere al loro interno dei keylogger. I keylogger registrano i tasti premuti dall'utente sulla tastiera ed inviano le informazioni a un server controllato dall'attaccante, dandogli la possibilità di accedere agli account online dell'utente, come ad esempio l'home banking.
• Scansionare la rete locale alla ricerca di ulteriori vulnerabilità: Un attaccante intenzionato a lanciare un attacco DDoS, scansiona il maggior numero di dispositivi possibile a caccia di vulnerabilità. Alcuni dispositivi sono protetti da firewall, quindi un dispositivo compromesso della botnet inizierà ad analizzare le risorse della rete locale una volta installato sul singolo dispositivo. Se alcuni dei dispositivi locali presentano firmware non aggiornati, il malware può sfruttare tali vulnerabilità e aggiungere il dispositivo compromesso alla zombie network.
• Lanciare attacchi DDoS: È tipico delle Botnet essere utilizzate per lanciare attacchi di questo tipo. L'attaccante ha bisogno di migliaia di macchine compromesse per poter lanciare un attacco DDoS efficace. Servizi come Cloudflare possono essere utilizzati per mitigare gli attacchi DDoS, ma un attaccante che dispone di decine di migliaia di macchine zombie in tutto il mondo, può comunque riuscire a provocare gravi rallentamenti alle reti colpite.
• Inviare email spam: Con l'accesso alle caselle di posta sui dispositivi locali compromessi, un attaccante può comandare alla botnet di inviare email a destinatari ben precisi. Tali email potrebbero contenere malware da diffondere ad altre macchine, o l'attaccante potrebbe utilizzarle per lanciare campagne di phishing.

I malware botnet impiantati su dispositivi compromessi, restano inattivi fino a quando un attaccante non invia un comando. L'attaccante che lancia un attacco DDoS viene anche detto “botmaster”, e il server centrale dove l'attaccante controlla tutti i dispositivi e invia loro i comandi, è chiamato command-and-control server o “C&C”. Il malware comunica con il C&C attraverso vari protocolli spesso abilitati sui firewall così che i comandi non vengano bloccati. Ad esempio, non è insolito per i malware botnet comunicare attraverso il protocollo HTTP dato che la trasmissione HTTP viene normalmente utilizzata su reti domestiche o aziendali e non viene bloccata dai firewall.

Data l'efficacia delle botnet, gli sviluppatori di malware monetizzano i propri sforzi offrendo DDoS-as-a-service (DDaaS). Tanti dispositivi compromessi con malware botnet si connettono allo stesso server C&C, e i creatori del malware offrono piani di abbonamento tramite cui i cybercriminali hanno accesso al server C&C e possono inviare i loro comandi.

Gli sviluppatori di malware includono quasi sempre dei failover nelle loro applicazioni C&C. Nel caso in cui un server C&C venisse messo fuori uso, altri indirizzi a cui collegarsi vengono inclusi come opzioni di failover valide. Grazie alla ridondanza nel malware, un attaccante può evitare di perdere tutti i dispositivi infetti nel caso in cui il servizio di hosting su cui si appoggia il server C&C, cancellasse il suo account.

Utilizzo del modello peer-to-peer

In altre strategie, l'attaccante utilizza un modello peer-to-peer (P2P) dove ogni dispositivo infetto agisce anche da server C&C. Anche se un computer nella rete P2P andasse fuori uso, ogni altro dispositivo potrebbe comunque essere utilizzato per inviare comandi agli altri. Le botnet P2P sono molto più difficili da neutralizzare, per questo vengono spesso preferite come metodo per comunicare tra dispositivi infetti.

Una volta inviati comandi ai dispositivi infetti, questi ultimi lanceranno l'attacco o compiranno le azioni in base alle istruzioni dell'attaccante. Le vittime inconsapevolmente partecipi delle botnet con i propri dispositivi compromessi, possono notare degli improvvisi cali di prestazioni delle proprie macchine o durante la navigazione Internet. Il computer potrebbe funzionare molto più lentamente mentre si trova sotto il controllo C&C, o altri utenti collegati alla stessa rete, potrebbero notare improvvisi rallentamenti. Una volta che l'attacco è terminato, le prestazioni tornano ad essere regolari e il malware torna inattivo.

Dato che le infezioni da malware botnet coinvolgono principalmente dispositivi che utilizzano firmware non aggiornati, gli utenti devono sempre installare le patch per i propri dispositivi IoT, inclusi tutti i dispositivi di rete. Le vulnerabilità causate da software non aggiornati sono molto comuni nei cyberattacchi perché gli utenti lasciano spesso i propri sistemi non aggiornati per mesi, prima di installare le patch di sicurezza. Router, dispositivi IoT domestici, telecamere, e altri dispositivi hardware spesso trascurati e considerati sicuri, sono obiettivi molto comuni per i malware botnet.

Molti produttori dei più recenti dispositivi IoT implementano procedure per aggiornare automaticamente i firmware, ma i dispositivi meno recenti andrebbero controllati ed aggiornati. È sufficiente collegarsi al sito del produttore e verificare l'esistenza di aggiornamenti in base al modello del proprio dispositivo.

Se pensate che il vostro computer possa essere infettato da malware botnet, il miglior modo per saperlo è effettuare una scansione con appositi software anti-malware. Un buon anti-malware rileva il malware ancor prima che venga installato sul vostro computer, ma alcuni malware zero-day possono essere installati senza essere rilevati perché non sono ancora mai stati visti prima. Se il software anti-malware non è aggiornato, non sarà in grado di riconoscere i nuovi malware. Dato che i creatori di malware continuano a modificare il codice, creando continuamente nuove varianti, i malware più recenti non saranno rilevati dalle difese a protezione del computer. Per proteggere il vostro dispositivo, mantenete sempre il vostro software anti-malware aggiornato con le ultimissime patch rilasciate dal produttore.