Le botnet sono reti di dispositivi informatici violati usate per attuare varie truffe e cyberattacchi. Il termine "botnet" è formato dalle parole "robot" e "network" (rete). L'assemblaggio di una botnet corrisponde solitamente alla fase di infiltrazione di uno schema multilivello. I bot servono come strumento per automatizzare attacchi di massa, come il furto di dati, l'arresto di server e la distribuzione di malware.
Le botnet sfruttano i tuoi dispositivi per truffare altre persone o causare interruzioni, il tutto senza il tuo consenso. Ma cos'è un attacco botnet e come funziona? Per ampliare questa definizione di botnet, ti aiuteremo a capire come vengono create e come vengono utilizzate.
Le botnet sono progettate per espandere, automatizzare e accelerare la capacità di un hacker di sferrare attacchi su larga scala.
Una sola persona o anche un piccolo gruppo di hacker può eseguire solo un numero limitato di azioni sui propri dispositivi locali. Con costi limitati e investendo un po' di tempo, possono però acquisire tonnellate di macchine aggiuntive da sfruttare per una maggiore efficienza operativa.
Un bot herder usa comandi remoti per guidare un collettivo di dispositivi violati. Una volta compilati i bot, l'herder utilizza la programmazione dei comandi per guidare le azioni successive. La parte che assume il comando potrebbe aver configurato la botnet o gestirla a noleggio.
I computer zombie, o bot, sono i singoli dispositivi utente infetti da malware e acquisiti per essere utilizzati nella botnet. Questi dispositivi funzionano in modo acritico secondo i comandi impartiti dal bot herder.
Le fasi principali della costruzione di una botnet possono essere riassunte in pochi passaggi:
L'esposizione della fase 1 inizia con l'individuazione da parte degli hacker di una vulnerabilità in un sito Web, in un'applicazione o in un comportamento umano. L'obiettivo è quello di predisporre l'utente a essere inconsapevolmente esposto a un'infezione da malware. Di solito gli hacker sfruttano i problemi di sicurezza dei software o dei siti Web oppure inviano il malware tramite e-mail e altri messaggi online.
Nella fase 2, l'utente viene infettato dal malware della botnet eseguendo un'azione che compromette il suo dispositivo. Molti di questi metodi prevedono che gli utenti vengano convinti tramite tecniche di social engineering a scaricare uno speciale virus trojan. Altri hacker potrebbero essere più aggressivi e usare un download drive-by durante la visita di un sito infetto. Indipendentemente dal metodo di distribuzione, i cybercriminali riescono alla fine a violare la sicurezza dei computer di diversi utenti.
Quando l'hacker è pronto, la fase 3 inizia assumendo il controllo di ogni computer. L'autore dell'attacco organizza tutti i dispositivi infetti in una rete di "bot" gestibile da remoto. Il cybercriminale cercherà spesso di infettare e controllare migliaia, decine di migliaia o addirittura milioni di computer e agirà poi come il capo di una grande "rete di zombie", ovvero una botnet completamente assemblata e attiva.
Ma cosa fa in effetti una botnet? Una volta infettato, un computer zombie consente l'accesso alle operazioni di livello amministratore, come ad esempio:
I candidati per il reclutamento nella botnet possono essere tutti i dispositivi in grado di accedere a una connessione Internet.
Molti dei dispositivi di uso comune oggi hanno una qualche forma di computer al loro interno, anche alcuni insospettabili. Quasi tutti i dispositivi Internet basati su computer sono vulnerabili per una botnet e questo significa che la minaccia è sempre più diffusa. Per proteggerti, prendi nota di alcuni dispositivi comuni che vengono dirottati nelle botnet:
I computer tradizionali, come i desktop e i laptop con sistema operativo Windows o macOS, sono da tempo obiettivi popolari per la creazione di botnet.
I dispositivi mobili sono diventati un altro obiettivo comune, considerata l'ampia diffusione. Anche gli smartphone e i tablet sono stati inclusi specificatamente in attacchi botnet del passato.
Può essere cooptato nelle botnet anche l'hardware dell'infrastruttura Internet utilizzato per abilitare e supportare le connessioni Internet. I router di rete e i server Web sono bersagli noti.
I dispositivi Internet of Things (IoT) comprendono tutti i dispositivi connessi che condividono dati tra loro tramite Internet. Ecco alcuni esempi, oltre ai computer e ai dispositivi mobili:
Nel loro insieme, tutti questi dispositivi possono essere violati per creare enormi botnet. Il mercato tecnologico è ormai saturo di dispositivi a basso costo e a bassa sicurezza, che rendono l'utente particolarmente vulnerabile. Senza anti-virus e anti-malware, i bot herder possono infettare i tuoi dispositivi senza farsi notare.
L'invio di comandi è una parte fondamentale del controllo di una botnet. Tuttavia, l'anonimato è altrettanto importante per l'autore dell'attacco. Per questo, le botnet vengono gestite tramite programmazione remota.
Il server di command-and-control (C&C) è la fonte di tutte le istruzioni e i comandi per la botnet. Si tratta del server principale del bot herder, da cui ogni computer zombie riceve i comandi.
Ogni botnet può essere guidata da comandi diretti o indiretti in base ai modelli seguenti:
I modelli centralizzati sono guidati da un solo server bot herder. Una variante di questo modello può prevedere l'inserimento di server aggiuntivi con il ruolo di sub-herder, o "proxy". Tuttavia, tutti i comandi provengono dal bot herder, sia nelle gerarchie centralizzate che in quelle basate su proxy. In entrambe le strutture, il bot herder è esposto alla possibilità di essere scoperto, il che rende questi metodi datati non proprio ideali.
Nei modelli decentralizzati le responsabilità per le istruzioni sono incorporate in tutti i computer zombie. Finché il bot herder può contattare uno qualsiasi dei computer zombie, riuscirà a diffondere i comandi agli altri. La struttura peer-to-peer nasconde ulteriormente l'identità del bot herder. Con evidenti vantaggi rispetto ai vecchi modelli centralizzati, il P2P è oggi più diffuso.
I creatori di botnet hanno sempre qualcosa da guadagnare, in termini di denaro o di soddisfazione personale.
La maggior parte delle motivazioni per la creazione di una botnet è simile a quelle di altri cybercrimini. In molti casi, gli autori degli attacchi vogliono rubare qualcosa di prezioso o causare problemi ad altri.
In alcuni casi, i cybercriminali creano e vendono l'accesso a un'ampia rete di computer zombie. Gli acquirenti sono solitamente altri cybercriminali che pagano per il noleggio o per l'acquisto. Ad esempio, gli spammer potrebbero noleggiare o acquistare una rete per attuare una campagna di spam su larga scala.
Nonostante i numerosi vantaggi potenziali per un hacker, alcune persone creano botnet solo per il piacere di farlo. Indipendentemente dalle motivazioni, le botnet finiscono per essere utilizzate per tutti i tipi di attacchi, sia contro gli utenti controllati dalla botnet che contro altre persone.
Anche se le botnet possono costituire da sole un attacco, sono uno strumento ideale per attuare truffe secondarie e cybercrimini su vasta scala. Ecco alcuni degli schemi comuni di attacchi botnet:
DDoS (Distributed Denial-of-Service) è un attacco basato sul sovraccarico di traffico Web su un server per causarne l'arresto. I computer zombie hanno il compito di infestare i siti Web e altri servizi online, causandone l'interruzione per qualche tempo.
Gli schemi di phishing imitano persone e organizzazioni fidate per indurre i bersagli a divulgare informazioni preziose. In genere, si tratta di campagne di spam su larga scala progettate per rubare le informazioni sugli account degli utenti, come le credenziali di accesso alle banche o all'e-mail.
Gli attacchi di forza bruta eseguono programmi progettati per violare gli account Web con la forza. Gli attacchi a dizionario e lo stuffing di credenziali sono utilizzati per sfruttare le password deboli degli utenti e accedere ai loro dati.
Considerate le minacce per la sicurezza propria e altrui, è indispensabile proteggersi dal malware botnet.
Fortunatamente, le protezioni software e alcuni piccoli cambiamenti nelle tue abitudini con il computer possono essere d'aiuto.
Le botnet sono difficili da bloccare una volta radicate nei dispositivi degli utenti. Per ridurre gli attacchi di phishing e altri problemi, assicurati di proteggere ogni dispositivo da questa violazione dannosa.
Articoli correlati: