La Cybersecurity è una responsabilità condivisa, che influisce su tutti noi. Bisogna partire da questa assunzione di responsabilità per comprendere a pieno un fenomeno che mina alla base la società nella quale viviamo.
Ogni giorno le organizzazioni sottraggono tempo e risorse preziose al proprio core business per difendersi e rimediare agli attacchi informatici. Tuttavia, affidandosi a decine di strumenti complessi, spesso non connessi tra di loro, le aziende rimangono in pericolo, poiché i cybercriminali possono sfruttare questo gap.
In questo scenario, i team addetti alla sicurezza sono impegnati in una faticosa lotta per rispondere adeguatamente alla continua evoluzione della natura delle minacce e del profilo dei criminali informatici, mentre i professionisti più esperti in ambito sicurezza sono sempre pochi sul mercato del lavoro.
Per questa ragione, è sempre più necessario che le società che operano nel campo della sicurezza informatica si assumano il compito di rendere sicuro lo spazio cibernetico, e la notizia di pochi giorni fa che Microsoft ha smantellato una grande operazione portata avanti da gruppi hacker che avrebbe potuto influenzare le elezioni presidenziali statunitensi di novembre va letta in quest’ottica.
La rete smantellata si chiamava Trickbot ed era una cosiddetta “botnet”, cioè una rete di dispositivi infettati con software maligni che, in questo caso, era arrivata a interessare oltre un milione di dispositivi. Attraverso la diffusione di “ransomware”, software che bloccano un computer chiedendo un riscatto, queste reti possono interrompere alcuni processi legati al voto, come gli scrutini elettronici o le consultazioni delle liste elettorali ma non solo.
Le botnet sono diventate una delle principali minacce ai sistemi di sicurezza di oggi. Sono sempre più utilizzate dai cybercriminali perché consentono di infiltrarsi in quasi tutti i dispositivi connessi a Internet, da un riproduttore DVR ai mainframe aziendali.
Molti cybercriminali utilizzano le botnet per fare cryptojacking, ovvero il mining illegale di criptovalute su sistemi informatici di terzi. Si tratta di una tendenza destinata ad aumentare per cui sempre più computer verranno infettati con malware di mining e verranno rubati sempre più portafogli digitali.
Oltre a essere pericolosi strumenti di persuasione politica e cryptojacking, le botnet sono una minaccia per aziende e consumatori perché diffondono malware, lanciano attacchi a siti web, rubano dati personali e truffano inserzionisti pubblicitari. Insomma, le botnet sono chiaramente un grosso problema, ma siamo sicuri di sapere esattamente cosa sono e come funzionano? E come si fa a proteggere i propri dispositivi e dati personali? La prima cosa da fare è capire come sono fatte. A quel punto, potremo imparare a proteggere i nostri dispositivi.
Significato di botnet
Per capirne meglio il funzionamento, proviamo a dare una definizione di botnet. Il termine “botnet” è la fusione dei termini “robot” e “network” (rete). In generale, le botnet sono proprio questo: una rete di robot utilizzati per commettere cybercrimini. I cybercriminali che le controllano vengono chiamati botmaster o bot herder che, tecnicamente, significa “mandriani”, sottolineando come l’efficacia di una botnet dipenda dalla sua estensione.
Dimensione di una botnet
Per creare una botnet, i botmaster hanno bisogno di controllare migliaia di dispositivi infetti (bot) e connessi a Internet. Le dimensioni di una botnet dipendono direttamente dal numero di bot connessi. Più grande è la botnet, più danni fa.
I cybercriminali utilizzano le botnet per ottenere un effetto dirompente e amplificato. Ordinano al loro esercito di bot infetti di sovraccaricare un sito web fino al punto in cui questo smette di funzionare e viene negato l’accesso ai visitatori. Gli attacchi di questo tipo vengono chiamati Distributed Denial of Service (DDoS), che in inglese significa “interruzione distribuita del servizio”.
Infezioni da botnet
Normalmente, le botnet non vengono create per danneggiare un solo computer, ma per infettare milioni di dispositivi, come illustra il caso del marzo 2020 della botnet Necurs. Spesso, per inglobare i computer nelle botnet, i botmaster utilizzano virus di tipo Trojan.
La strategia è questa: l’utente infetta inconsapevolmente il proprio sistema aprendo un allegato fraudolento, facendo clic su un annuncio popup o scaricando un software infetto da un sito web non affidabile. Una volta infettato il dispositivo, la botnet può visualizzare e modificare i dati personali presenti, utilizzarlo per attaccare altri computer e commettere altri crimini informatici.
Alcune botnet più complesse possono addirittura espandersi automaticamente, trovando e infettando nuovi dispositivi senza l’intervento diretto del botmaster. I bot di queste reti cercano continuamente altri dispositivi connessi a Internet da infettare e prendono di mira quelli in cui il sistema operativo non è aggiornato o che sono sprovvisti di un software antivirus.
Le botnet sono difficili da rilevare: utilizzano una quantità irrisoria di risorse del computer per non interferire con il normale funzionamento dei programmi e non destano alcun sospetto nell’utente. Le botnet più avanzate sono anche in grado di modificare il proprio comportamento in base ai sistemi di cybersicurezza dei computer per evitare di essere rilevate. Nella maggior parte dei casi, gli utenti non sanno che i propri dispositivi sono connessi a una botnet e controllati da cybercriminali. Ma la cosa peggiore è che le botnet continuano a evolversi, e le nuove versioni sono sempre più difficili da rilevare.
Infine, le botnet hanno bisogno di tempo per crescere. Molte rimangono inattive finché il numero di bot connessi è abbastanza alto. A quel punto, il botmaster le attiva e comanda a tutti i bot di realizzare un attacco DDoS o un invio di massa di spam.
Le botnet possono infettare praticamente qualsiasi dispositivo connesso a Internet. PC, portatili, dispositivi mobili, DVR, smartwatch, telecamere di sicurezza e perfino gli elettrodomestici intelligenti possono essere inglobati da una botnet.
Da questo punto di vista, lo sviluppo dell’Internet of Things è una manna dal cielo per i botmaster, che avranno sempre più opportunità di espandere le proprie botnet e causare danni ancora maggiori. Prendiamo ad esempio il caso di Dyn, la grande azienda di infrastrutture per Internet che nel 2016 ha subito uno dei peggiori attacchi DDoS su larga scala. In quell’occasione è stata utilizzata una botnet fatta di telecamere di sicurezza e DVR. L’attacco ha messo in crisi Internet, rendendola inutilizzabile in vaste aree degli Stati Uniti.
Botnet sul web
Uno degli aspetti più controversi del Web è che rende disponibile a tutti qualsiasi risorsa, anche quelle illegali. Di fatto, gli hacker non hanno neanche bisogno di saper creare botnet. Su Internet è possibile comprarle o addirittura affittarle! Dopo aver infettato e inglobato migliaia di dispositivi, i botmaster cercano altri cybercriminali che hanno bisogno di una botnet. Così, i compratori possono sferrare altri cyberattacchi o rubare dati personali senza essere esperti di informatica.
La legislazione in materia di botnet e cybercrimine è in costante evoluzione. Dato che le botnet stanno diventando una minaccia sempre più seria per le infrastrutture di Internet, i sistemi di telecomunicazione e addirittura per le reti di distribuzione elettrica, prima o poi agli utenti verrà richiesto di garantire la sicurezza dei propri dispositivi. È probabile che in futuro le normative di cybersicurezza attribuiranno più responsabilità agli utenti per i crimini commessi con i loro dispositivi.
Struttura delle botnet
Le botnet possono essere progettate in due modi, entrambi destinati a massimizzare il controllo dei botmaster sui bot:
- Modello client-server. In questo tipo di botnet un server controlla le trasmissioni di dati di ciascun client, come nella struttura classica di una rete. Il botmaster utilizza un software apposito per creare i server Command and Control (C&C), che impartiscono istruzioni a ciascun dispositivo-client. Questo modello è ottimo per mantenere il controllo sulla botnet, ma ha diversi svantaggi: per le forze dell’ordine è abbastanza facile localizzare il server C&C e ha un solo centro di controllo. Una volta distrutto il server, la botnet non esiste più.
- Peer-to-peer. Invece di affidarsi a un server C&C centrale, le botnet più recenti si basano su una struttura peer-to-peer (P2P). In una botnet P2P ciascun dispositivo infetto funziona sia come client sia come server. Ogni bot ha un elenco degli altri dispositivi infetti e li contatta quando ha bisogno di aggiornare o trasmettere informazioni. Le botnet P2P sono più difficili da smantellare per le forze dell’ordine perché mancano di un’origine centrale.
Prevenzione contro le botnet
A questo punto dovrebbe essere chiaro che per prevenire l’infezione da botnet è necessario adottare una strategia su più fronti, basata principalmente su regole per una navigazione sicura e un sistema di protezione antivirus la cui responsabilità è nelle mani dell’utente. In particolare dovrà:
- Aggiornare il sistema operativo
- Non aprire allegati di email di mittenti sconosciuti o sospetti
- Non scaricare file da reti P2P e di file sharing.
- Non fare clic su link sospetti
- Utilizzare software antivirus e di protezione dell’endpoint.
Ciò che possiamo fare come utenti ci permette di limitare il rischio di diventare parte di una botnet ma se torniamo a come abbiamo iniziato l’articolo, è chiaro che lo smantellamento di una botnet non è un’azione che può essere realizzata da una singola azienda. Serve la collaborazione da parte di tanti attori e l’intervento delle componenti giuridiche. Nel caso specifico, come in altri casi del recente passato, Microsoft ha avuto l’autorizzazione a procedere con la distruzione della rete da parte del tribunale dell’Eastern District della Virginia.
La giusta tecnologia e le corrette operazioni non bastano a garantire al mondo la massima sicurezza possibile: è necessario rafforzare l’intero ecosistema, unire le forze dell’intero settore IT e collaborare direttamente con governi e istituzioni democratiche. Microsoft ha recentemente compiuto significativi passi avanti in questa direzione, collaborando con aziende tecnologiche, policy maker e istituzioni decisive per il processo democratico in difesa delle elezioni di metà mandato. Il programma “Defending Democracy” è finalizzato alla protezione delle campagne politiche dalle intromissioni dei cybercriminali, all’aumento della sicurezza del processo elettorale, alla difesa contro la disinformazione e a una maggiore trasparenza della pubblicità politica online. Parte del programma è rappresentato dall’iniziativa AccountGuard, che assicura protezione informatica all’avanguardia senza costi aggiuntivi a tutti i candidati e agli uffici per le campagne elettorali a livello federale, statale e locale, così come ad altre organizzazioni decisive per il processo democratico. Nel corso del primo mese hanno aderito ad AccountGuard oltre 30 organizzazioni. L’iniziativa, concentrata in un primo tempo sulle attività dei maggiori partiti nazionali, è ora estesa non solo a comitati di rappresentanza dei due partiti principali degli Stati Uniti, ma anche a think tank e campagne di alto profilo.
Foto: web