È di qualche giorno fa la notizia, passata come al solito sotto silenzio, dello smantellamento della botnet Andromeda a seguito di una operazione cyber internazionale a guida EUROPOL.
La botnet era operativa da diversi anni...
Ma iniziamo dal principio: cos’è una botnet?
Per chi non ha dimestichezza col mondo cyber, la terminologia può essere un problema e si rischia di perdersi tra neologismi senza comprendere il concetto, per cui cercherò di essere il più chiaro possibile evitando l’uso di tecnicismi.
Una botnet è una rete composta da computer infetti (utilizzo il termine computer in modo estensivo, comprendendo anche dispositivi mobili ecc...). L’agente infettante è chiamato “bot”, e nel caso di Andromeda è un “trojan”, mentre i computer infetti sono chiamati “zombi”. Una botnet è governata da un “bot master” che ne impiega le risorse per i suoi scopi, generalmente maligni.
La botnet Andromeda è, o forse è meglio dire “era”, una rete conosciuta sin dal 2011. È anche conosciuta con i nomi di “Gamarue” e “Wauchos”. Opera su dispositivi dotati dei Sistemi Operativi Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit), tutti appartenenti alla famiglia dei SO Microsoft Windows. Il trojan Andromeda è capace di svolgere diverse operazioni: può verificare se è in esecuzione, può scaricare ed eseguire files, funzionare come sistema di comando da remoto e, se necessario, può disinstallarsi dalla macchina infetta per cancellare le tracce della sua presenza, inoltre è capace di connettersi ad un certo numero di siti malevoli. Una volta installato nel sistema esegue delle copie di se stesso che distribuisce in varie parti del Sistema Operativo per garantirsi la sopravvivenza.
Secondo la Microsoft la botnet si estendeva su 223 paesi diversi e poteva avvalersi di più di 2 milioni di dispositivi infetti (ma sembra che i numeri siano molto più grandi) attraverso i quali poteva compiere operazioni di vario tipo oltre al più comune Distributed Denial of Service (DdoS).
Non è la prima volta che una operazione cyber smantella una botnet ma generalmente parte della botnet resta ancora attiva e potenzialmente può essere utilizzata da chi è capace di prenderne possesso. Occorre inoltre considerare il fatto che Andromeda e le sue varianti sono state in vendita per anni e sono state impiegate per installare altre botnet, come per esempio Neutrino, e poi disinstallate per eliminare traccia del collegamento.
Lo smantellamento della botnet Andromeda, ad opera di una operazione congiunta tra FBI, EUROPOL e la polizia tedesca, è considerato un passo importante in quanto si pensa che questa rete sia stata utilizzata a supporto di un’altra botnet conosciuta come Avalanche, a sua volta santellata alla fine del 2016. Per Andromeda è stato arrestato un bielorusso di 37 anni.
L’impiego di strumenti on-line ci permette di verificare la diffusione del trojan e delle sue varianti ed è possibile vedere che dopo lo smantellamento di Andromeda continuano ad esistere delle varianti attive in tutto il mondo.
Come è possibile notare dalla mappa l’infezione si è diffusa principalmente in Europa, India, Centro e Sud America.
Anche l’Italia appare molto colpita e mi stupisce la mancanza di una campagna di sensibilizzazione che dovrebbe comprendere un minimo di informazioni sul come rilevare l’infezione e sulla sua rimozione. Purtroppo in Italia non vi è ancora la giusta sensibilità verso questo genere di problemi che si pensa siano appannaggio dei tecnici.
Niente di più sbagliato. Non sono i tecnici che decidono l’approccio al mondo cyber, questo è compito dei decisori che naturalmente devono essere in grado di capire qual’è il problema e come comportarsi al loro livello, magari semplicemente incrementando il numero degli esperti di sicurezza nella loro azienda o riservando una maggiore fetta di risorse al settore cyber.
Ma cosa si può dire dal punto di vista militare?
In generale una botnet è una struttura complessa, ciò significa che occorre del tempo per metterla in piedi e mantenerla. Inoltre occorre attenzione e esperienza per mantenerla segreta, in attesa di impiegarla.
Una grande organizzazione militare a livello statale può avere interesse a creare una o più botnet da impiegare per operazioni cyber. Una botnet è sicuramente utile nella fase di preparazione di un attacco pianificato accuratamente di tipo APT (Advanced Persistent Threat).
In linea di massima una botnet può essere utilizzata per la preparazione di un attacco cyber complesso quale un DDoS o per la raccolta di informazioni. Ma non sembra questo il caso di Andromeda. Ciò non toglie che Andromeda potrebbe essere stata utilizzata anche per operazioni militari ed è stato notato qualche collegamento con una cyber operation di tipo APT chiamata “Operation Transparent Tribe” condotta ai danni di personale militare e diplomatico indiano nel 2016.
Una cosa è certa, distrutta una botnet, sicuramente ne verrà creata una nuova!
Per approfondire:
- https://www.certnazionale.it/news/2017/12/06/smantellata-la-botnet-andro...
- https://www.europol.europa.eu/newsroom/news/andromeda-botnet-dismantled-...
- https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/ANDROMEDA;
- http://resources.infosecinstitute.com/andromeda-bot-analysis/;
- https://www.itnews.com.au/news/police-security-vendors-take-down-androme...
- http://www.virusradar.com/en/Win32_KillAV/map;
- https://www.itworldcanada.com/article/canadian-threat-researchers-help-t...
- https://www.welivesecurity.com/2017/12/04/eset-helps-law-enforcement-wor...
- https://www.us-cert.gov/ncas/alerts/TA16-336A;
- https://researchcenter.paloaltonetworks.com/2016/03/unit42-projectm-link...
https://www.proofpoint.com/us/threat-insight/post/Operation-Transparent-....