Botnet: cos’è e come funziona una rete di dispositivi compromessi

In un panorama estremamente interconnesso, si celano architetture oscure capaci di amplificare il potenziale offensivo dei malware: le botnet. Si tratta di una minaccia piuttosto subdola, poiché tende ad operare silenziosamente all’insaputa degli utenti. Ma come agisce una botnet e qual è il suo scopo?

Che cosa si intende per botnet?

Una botnet, termine derivante dalla fusione di “robot” e “network“, costituisce essenzialmente una rete coordinata di dispositivi – dai computer tradizionali ai router domestici, fino ai dispositivi IoT – compromessi da software malevolo e controllati da remoto da un attore, detto botmaster. I dispositivi coinvolti vengono invece chiamati bot o zombie.

L’efficacia delle botnet risiede nella natura distribuita e nella capacità di orchestrare migliaia dispositivi compromessi per raggiungere obiettivi che un singolo sistema non potrebbe mai conseguire.

Le botnet possono essere utilizzate per una varietà di scopi dannosi, tra cui:

• Attacchi DDoS (distributed denial-of-service): le botnet possono essere utilizzate per inondare un sito web o un servizio online di traffico, rendendolo inaccessibile agli utenti legittimi.
• Spam: le botnet possono essere utilizzate per inviare spam, ovvero messaggi di posta elettronica non richiesti.
• Ransomware: le botnet possono essere utilizzate per diffondere ransomware, un tipo di malware che crittografa i dati dell’utente e richiede un riscatto per decrittografarli.
• Furto di dati: le botnet possono essere utilizzate per rubare dati sensibili, come informazioni personali, credenziali di accesso o dati finanziari.

Come funziona una botnet?

Il centro nevralgico di una botnet corrisponde alla sua infrastruttura di comando e controllo (C&C) mediante cui il botmaster impartisce direttive ai dispositivi compromessi. In passato, venivano utilizzate architetture basate su server IRC (Internet Relay Chat) a cui i bot si connettevano per ricevere comandi. Questa configurazione, tuttavia, presentava un unico punto di accesso facilmente individuabile e col passare del tempo è diventata distribuita, conferendo resilienza e rendendo difficile neutralizzare l’intera rete.

Le moderne botnet impiegano tecniche di comunicazione sofisticate, inclusi protocolli di crittografia e domini generati algoritmicamente (DGA), che permettono ai bot di connettersi a server C&C diversi in base a calcoli predeterminati, complicando ulteriormente gli sforzi di tracciamento e mitigazione.

Sono due i componenti centrali necessari per formare una botnet:

• I bot: sono i dispositivi compromessi dal malware che controlla la botnet.
• Il botmaster: è l’utente o il gruppo che controlla la botnet utilizzando un software C&C per inviare comandi ai bot.

Il botmaster esegue quindi operazioni su larga scala in modo coordinato e silenzioso, rappresentando una seria minaccia per la sicurezza online e può utilizzare una varietà di tecniche per compromettere i dispositivi. Alcune delle tecniche più comuni includono:

• Exploit di vulnerabilità: lo sfruttamento di falle di sicurezza in software e firmware rappresenta uno dei metodi più efficaci per compromettere sistemi aggiornati sporadicamente.
• Ingegneria sociale: tecniche di phishing e social engineering inducono gli utenti a installare inconsapevolmente il malware.
• Drive-by download: la minaccia avviene automaticamente visitando siti web compromessi, senza alcuna interazione esplicita dell’utente.
• Credenziali deboli: particolarmente efficace contro dispositivi IoT, questo metodo sfrutta password predefinite o facilmente indovinabili.

Una volta compromesso, il dispositivo bot comunica con il botmaster attraverso il software C&C. Questo metodo di controllo aiuta a mantenere in anonimato l’aggressore, fornendogli anche l’accesso backdoor a singoli computer a cui altrimenti non avrebbe accesso senza autorizzazione. A questo punto, il botmaster potrà impartire istruzioni ai bot e raccogliere dati sensibili dai dispositivi infetti per condurre attività illecite senza che la vittima ne sia consapevole.

Quali sono le minacce associate alle botnet?

Le botnet rappresentano una grave minaccia per la sicurezza informatica. Come abbiamo accennato in precedenza, possono essere utilizzate per diffondere malware, lanciare attacchi DDoS e causare altri danni.

Per approfondire: Attacco DDoS: cos’è e come prevenirlo

Gli attacchi DDoS, nella fattispecie, risultano essere l’applicazione più comune delle botnet. Come opera un attacco DDoS attraverso una botnet? Coordinando migliaia di device compromessi, i botmaster possono generare volumi di traffico tali da saturare un’intera infrastruttura, rendendo i servizi online inaccessibili.

Le botnet moderne hanno dimostrato capacità di generare attacchi con potenze superiori a 1 Tbps, sufficienti a mettere in ginocchio anche le infrastrutture più robuste. Questi attacchi vengono spesso utilizzati per estorsioni, concorrenza sleale o come diversivi per mascherare azioni più sofisticate.

Gli hacker utilizzano i sistemi compromessi per effettuare una varietà di attività illegali, tra cui:

• Spam: le botnet continuano a rappresentare il principale vettore di distribuzione di email spam e phishing. La possibilità di inoltrare messaggi da migliaia di indirizzi IP diversi consente di eludere efficacemente i filtri antispam e di orchestrare campagne di phishing su vasta scala, spesso finalizzate alla raccolta di credenziali o alla distribuzione di ulteriore malware.
• Cryptojacking: con l’ascesa delle criptovalute, le botnet hanno trovato una nuova fonte di profitto nel cryptojacking, ossia l’utilizzo non autorizzato delle risorse computazionali di utenti vittime per il per il mining (il processo tramite cui vengono verificate e aggiunte nuove transazioni a una blockchain, in cambio di una ricompensa) di criptovalute. Questo tipo di attacco risulta insidioso poiché non compromette direttamente i dati dell’utente, rendendo più complesso il rintracciamento.
• Furto di dati sensibili: l’installazione di keylogger e altre forme di spyware sui dispositivi compromessi permette ai botmaster di raccogliere informazioni sensibili, quali credenziali di accesso, dati finanziari e proprietà intellettuale. Questi dati possono essere successivamente esposti in mercati illeciti allo scopo di monetizzare.

Caso di studio

Emersa nel 2016, si può dire che Mirai abbia fatto scuola nel panorama delle botnet, prendendo di mira dispositivi IoT. Sfruttando credenziali predefinite e vulnerabilità note, è riuscita a compromettere oltre 600.000 dispositivi, orchestrando alcuni degli attacchi più potenti mai registrati.

La pubblicazione del codice sorgente di Mirai ha generato alcuni dei più importanti attacchi DDoS, colpendo provider di servizi, siti istituzionali e aziende di tutto il mondo.

Come proteggersi dalle botnet?

Per proteggersi dalle botnet, possono essere adottate diverse azioni, tra cui:

• Installare software antivirus di qualità: un software antivirus aggiornato può aiutare a rilevare e rimuovere il malware che potrebbe colpire il dispositivo.

• Essere cauti quando si fa click su link o si scaricano file da fonti sconosciute.
• Mantenere aggiornato il software: vengono periodicamente rilasciati degli aggiornamenti con delle patch volte a correggere le vulnerabilità che potrebbero essere sfruttate dai cybercriminali per infettare i device.
• Utilizzare password robuste per ogni account e l’autenticazione a due fattori (2FA): una password forte e univoca così come l’implementazione dell’autenticazione a due fattori può aiutare a proteggere gli account da accessi indesiderati, aggiungendo un ulteriore livello di sicurezza.

Le botnet rappresentano una delle minacce più insidiose nel panorama informatico, sfruttando dispositivi compromessi per condurre attacchi su vasta scala. Limitare questo fenomeno può essere fattibile con risposte coordinate e proattive, anticipando così le potenziali direzioni dell’evoluzione delle botnet.