Cos’è una botnet?

Una botnet (abbreviazione di “robot network”, ovvero rete robot) è una rete di computer infettati da malware sotto il controllo di un singolo gruppo di attacco, denominato “bot-herder”. Ogni macchina individuale sotto il controllo del bot-herder è chiamata bot. Da un punto centrale, il gruppo di attacco può comandare a tutti i computer della botnet di effettuare simultaneamente un'azione criminale coordinata. Le dimensioni di una botnet (molte sono costituite da milioni di bot) consentono all'aggressore di eseguire azioni su larga scala precedentemente impossibili con i malware. Dato che le botnet rimangono sotto il controllo di un aggressore remoto, le macchine infette possono ricevere aggiornamenti e cambiare comportamento molto rapidamente. Di conseguenza, spesso i bot-herder riescono ad affittare l’accesso a segmenti della propria botnet sul mercato nero ottenendo guadagni notevoli.

Ecco alcuni esempi di azioni comuni delle botnet:

• Spam tramite e-mail: anche se oggi le e-mail vengono considerate un vettore di attacco vecchio, le botnet di spam sono tra le più grandi. Sono usate principalmente per inviare messaggi di spam, che spesso includono malware, in grandissime quantità da ciascun bot. La botnet Cutwail, ad esempio, può inviare fino a 74 miliardi di messaggi al giorno. Inoltre, vengono utilizzate per diffondere bot e attirare altri computer nella botnet.
• Attacchi DDoS: sfruttano le enormi dimensioni della botnet per sovraccaricare di richieste una rete o un server bersaglio, rendendoli inaccessibili per i loro utenti. Gli attacchi DDoS prendono di mira le organizzazioni per motivi personali o politici oppure per estorcere pagamenti in cambio della sospensione dell'attacco.
• Violazione finanziaria: include botnet progettate appositamente per il furto diretto di fondi aziendali e dati delle carte di credito. Le botnet finanziarie, come ZeuS, sono state responsabili di attacchi che hanno rubato direttamente milioni di dollari da diverse aziende in periodi di tempo molto brevi.
• Intrusioni mirate: botnet più piccole progettate per compromettere specifici sistemi di valore elevato delle organizzazioni da cui gli aggressori possono penetrare e introdursi ulteriormente nella rete. Queste intrusioni sono estremamente pericolose per le organizzazioni, dato che gli aggressori prendono di mira in modo specifico le loro risorse più preziose, come dati finanziari, ricerca e sviluppo, proprietà intellettuale e informazioni dei clienti.

Le botnet vengono create quando il bot-herder invia il bot dai suoi server command-and-control a un destinatario ignaro usando come intermediari i protocolli delle applicazioni di condivisione di file, posta elettronica o social media oppure altri bot. Quando il destinatario apre il file dannoso sul suo computer, il bot lo riferisce al command-and-control, dove il bot-herder può dare ordini per infettare i computer. Il diagramma seguente illustra queste relazioni:

Varie caratteristiche funzionali uniche dei bot e delle botnet li rendono adatti per le intrusioni a lungo termine. I bot possono essere aggiornati dal bot-herder per cambiare radicalmente la loro funzionalità in base a cosa vorrebbe che facessero e adeguarsi alle variazioni e alle contromisure del sistema bersaglio. I bot possono anche utilizzare altri computer infetti nella botnet come canali di comunicazione, fornendo al bot-herder un numero quasi infinito di percorsi di comunicazione per adeguarsi alle opzioni mutevoli e fornire aggiornamenti. Questo pone l'accento sul fatto che l’infezione è il passaggio più importante, perché le funzionalità e i metodi di comunicazione possono sempre essere modificati successivamente in base alle necessità.

Essendo uno dei tipi di malware moderni più sofisticati, le botnet causano enormi preoccupazioni in merito alla sicurezza informatica per governi, aziende e individui. Mentre un tempo i malware erano un aggregato di agenti indipendenti che si limitavano a infettare gli obiettivi e replicarsi, le botnet sono applicazioni in rete coordinate a livello centrale che sfruttano le reti per acquisire forza e resilienza. Dato che i computer infetti sono sotto il controllo del bot-herder remoto, l’infezione di una botnet è come avere all’interno della rete un hacker anziché un semplice programma dannoso eseguibile.