Botnet

Una botnet è una raccolta di dispositivi connessi al web, inclusi server, PC, dispositivi mobili e dispositivi IoT, che sono infettati e controllati da malware condiviso.

Un sistema diventa comunemente parte di una botnet senza che l'utente se ne renda conto. Questi dispositivi dirottati possono essere utilizzati per eseguire attacchi di negazione del servizio distribuiti, rubare dati, inviare spam o persino accedere da remoto alla rete locale di un dispositivo.

L'architettura delle reti bot è evoluta nel tempo, adattandosi a nuovi sistemi di sicurezza per evitare rilevamenti o interruzioni. Tradizionalmente, i programmi bot sono costruiti come client che comunicano tramite server esistenti. Ma molte botnet recenti si basano su reti peer-to-peer esistenti per comunicare. Questi programmi bot P2P hanno le stesse capacità delle botnet operate all'interno del modello client-server, ma comunicano direttamente tra loro, evitando la necessità di un server centrale.

Come funzionano le botnet

Le botnet vengono utilizzate per distribuire spam tramite email, effettuare attacchi di frode sui clic e avviare attacchi DDoS. Il malware delle botnet scansiona ripetutamente Internet alla ricerca di sistemi esposti o dispositivi IoT, piuttosto che mirare a individui o aziende, al fine di infettare il maggior numero possibile di dispositivi. La potenza di calcolo e le risorse di una grande botnet vengono sfruttate per automatizzare i compiti rimanendo nascoste dal proprietario del dispositivo. La botnet rimane nascosta attraverso una serie di tattiche. Un metodo principale è quello di sfruttare il browser di un dispositivo. Utilizzando una piccola parte delle risorse del dispositivo, l'aumento del traffico è troppo piccolo perché l'utente se ne accorga.

Poiché viene utilizzata una quantità così piccola di potenza di calcolo da ciascun dispositivo dirottato, le botnet richiedono numerosi dispositivi (a volte anche milioni) per produrre un effetto desiderato su un obiettivo specifico.

Architettura delle botnet

Le infezioni da botnet vengono regolarmente diffuse da malware di qualche tipo. Questo malware scansionerà sistemi o dispositivi alla ricerca di punti di vulnerabilità comuni, come un sistema operativo obsoleto o un firewall aperto, con l'obiettivo di compromettere il maggior numero possibile di sistemi.

Una volta che la rete botnet raggiunge una dimensione desiderata, gli attaccanti controllano i bot utilizzando uno dei due approcci:

• Approccio client/server standard: un server di comando e controllo invia istruzioni automatiche a tutti i sistemi infetti nella botnet. Ci sono diversi modi in cui questa comunicazione può essere instradata: tramite un canale IRC, tramite HTML di base o utilizzando una VPN. La rilevazione può essere difficile perché i bot possono essere programmati per rimanere inattivi per evitare sospetti. Ascolteranno i comandi e poi si "sveglieranno" per avviare eventuali attività dannose.
• Approccio peer-to-peer: un approccio più moderno - utilizzato per evitare sospetti da parte delle forze dell'ordine o dei sistemi di sicurezza della rete - i bot peer-to-peer risolvono il problema dei domini e dei server C&C che vengono presi di mira comunicando attraverso una rete decentralizzata. Tutti i bot si connettono direttamente tra loro, evitando la necessità di un sistema di comunicazione centrale.

Attacchi botnet notevoli

• Zeus: Una delle principali forme di malware esistenti oggi. Zeus è costruito attorno a un programma Trojan che infetta i sistemi vulnerabili fingendo di essere un pezzo di software innocuo.
• Srizbi: A un certo punto la più grande botnet di spam al mondo. Srizbi è comunemente conosciuta come la "botnet di spam di Ron Paul" ed è stata, a un certo punto, responsabile di quasi 60 miliardi di messaggi al giorno. Durante il suo picco, rappresentava poco meno della metà di tutto lo spam email in un dato momento.
• Gameover Zeus: Questa botnet utilizzava un approccio di rete peer-to-peer, rendendo più difficile per le forze dell'ordine e i fornitori di sicurezza localizzarla e terminarla. I bot infetti utilizzavano un algoritmo di generazione di domini per comunicare tra loro.
• Methbot: Funziona su circa 800-1.200 server dedicati in data center situati sia negli Stati Uniti che nei Paesi Bassi. I server infetti producono clic e movimenti del mouse falsi e falsificano i login degli account sui social media per apparire come utenti legittimi.
• Mirai: Costruito per scansionare Internet alla ricerca di dispositivi non sicuri. Una volta identificato un dispositivo aperto, il malware tenta di accedere con una serie di password comuni. Se i login non funzionano, Mirai utilizza tecniche di forza bruta per indovinare la password.

La capacità degli utenti di evitare attacchi botnet è stata recentemente ostacolata dalla crescente diffusione di malware progettato per colpire router e dispositivi IoT. Questi sistemi hanno frequentemente password deboli, se non addirittura assenti, il che porta a un accesso facile. Molti dispositivi IoT non consentono nemmeno agli utenti di modificare direttamente le proprie impostazioni di sicurezza, rendendo estremamente difficili i tentativi di dissuadere gli attaccanti. Quando i produttori non possono aggiornare da remoto il firmware di un dispositivo per correggere le vulnerabilità di sicurezza note, l'unica scelta che hanno è emettere un richiamo in fabbrica.

In passato, gli attacchi botnet venivano interrotti concentrandosi sulla fonte di comando e controllo. Le agenzie di enforcement e i fornitori di sicurezza tracciavano le comunicazioni dei bot fino a dove erano ospitati i server C&C, costringendo poi il fornitore di servizi a spegnerli. Con l'avanzare delle reti botnet, sono avanzati anche i metodi utilizzati per trovarli. Questo include l'identificazione e la rimozione delle infezioni da malware botnet sui dispositivi sorgente, l'identificazione e la replicazione dei metodi di comunicazione peer-to-peer e, nei casi di frode pubblicitaria, l'interruzione dei singoli schemi di monetizzazione piuttosto che dell'infrastruttura criminale sottostante.