Le BotNet sono state pensate come reti di elaboratori per gestire e mantenere attivi servizi Web. I criminali le hanno compromesse per eseguire attività fraudolente.
Zombie della Rete
Possiamo pensare alle BotNet come ad una rete (Network) di Bot (Robot).
Nell’accezione negativa che hanno preso nel tempo, questi Bot sono anche chiamati gli Zombie della Rete.
Gli Zombie di una BotNet non sono solo PC, tablet, smathphone, ma anche PLC, sistemi SCADA e perfino l’hardware di frigoriferi, sistemi di riscaldamento o telecamere.
L’unico fattore comune è che siano in grado di connettersi ad una rete, e quindi ad Internet.
Questi Bot sono tutti connessi ad un unico Centro di Controllo e di Comando (C&C)a cui arrivano i dati e da cui vengono lanciati i comandi.
Il Centro di Controllo e Comando è amministrato da un individuo o un gruppo che prende il nome di BotMaster.
Vita e Morte
La vita di una BotNet è composta da tre (o quattro) fasi ben precise.
1. Infezione
Una BotNet viene creata tramite una prima fase di infezione.
Usando tutti i metodi già visti, sfruttando vulnerabilità dei sistemi o vaicolandosi tramite trojan, mail, dispositivi rimovibili, ecc. il BotMaster veicola la minaccia espandendola il più possibile.
In questa fase non è molto importante “chi” viene infettato ma “quanti”.
Ogni dispositivo che entra sotto il controllo dell’hacker diventa uno Zombie.
La quasi totalità delle volte uno Zombie non sa nemmeno di esserlo.
2. Attacco
Le BotNet hanno vite molto brevi. Lo scopo per le quali sono create è sempre molto specifico e ha rilevanza anche mondiale, a differenza della diffusione che invece mira a prendere il più possibile.
Le stesse vulnerabilità sfruttate potrebbero essere scoperte solo qualche giorno dopo. La finestra di tempo è molto breve.
L’obiettivo stesso è quasi sempre esterno ai dispositivi infetti. Questo per non dare alcun sospetto.
Quando il BotMaster ritiene la rete pronta, chiede a tutti i dispositivi che controlla di fare piccole operazioni (ricordiamo che un Bot potrebbe essere un frigorifero connesso in rete, con pochissima capacità di elaborazione).
Queste “piccole” operazioni, distribuite su larga scala, danno esiti devastanti.
Specialmente in casi di Brute Force o Attacchi DDoS a reti governative o impianti industriali.
3. Morte
Appena la Rete di Zombie ha svolto il suo scopo, solitamente viene “dimenticata”.
La velocità richiesta nell’implementazione e nella diffusione non permette di creare software “sofisticato”, ma solo il minimo per lo scopo con cui è stato creato.
Essendo i danni molto distruttivi – a differenza di infezioni a scopo di riscatto che solitamente colpiscono piccole strutture o privati – le società di cyber-security sono molto attente a fornire soluzioni per chiudere queste falle il prima possibile.
Secondo i dati ottenuti da Fortinet nel corso del primo trimestre 2018, il 58% delle infezioni da BotNet dura meno di un giorno, il 17,6% sino a due giorni consecutivi e solo il 5% per più di una settimana. La botnet con una maggiore persistenza è Mirai, che infetta specificamente device IoT, utilizzandoli per attacchi DDoS o per fornire servizi proxy, con una media di 5,5 giorni.
4. Resurrezione
Può capitare però anche qualche caso anomalo.
I dispositivi vengono infettati allo scopo di riprenderne il controllo successivamente oppure gli Zombie potrebbero essere resi più resistenti alla cancellazione tramite aggiornamenti futuri.
In questi casi il BotMaster utilizzerà una serie di stratagemmi per far “sopravvivere” l’infezione, anche ad un eventuale cambio del C&C.
L’aggiornamento di molti dispositivi infatti (IoT principalmente) risulta non del tutto banale e l’hacker stesso, avendone il controllo ad insaputa dell’utente, potrebbe impedire gli aggiornamenti alla sicurezza.
Centro di Controllo e di Comando
Le Reti di Bot sono principalmente di 3 tipi, in base a come viene creato e gestito il C&C.
In gergo tecnico viene definita Architettura della BotNet.
1. Centralizzata
In questa architettura, i Bot si connettono direttamente a uno o più Centri C&C (per ridondanza), scaricano lì le informazioni e attendono i comandi.
Il BotMaster deve connettersi ad uno di questi centri per poter operare nella rete.
I comandi possono essere mandati in maniera discontinua (servizi Web/HTTP o comunque IP) che pubblicano i comandi che i Bot scaricano (metodo Pull).
Oppure in maniera continua tramite protocolli IRC (chat) per il quale i comandi vengono mandati ai Bot (metodo Push) in tempo reale.
Le BotNet centralizzate sono di 3 tipi:
- Architettura Client/Server: i Bot si connettono ad un unico C&C. Questa struttura è la più debole: eliminato il centro tutta la rete smette di funzionare.
- Architettura Multi-Server: i Bot si collegano a più C&C. Per distruggere la rete è necessario distruggere tutti i centri.
Il BotMaster, inoltre, potrà sempre crearne di nuovi se anche uno solo di questi sopravvive.
- Architettura Gerarchica: il C&C comunica solo con alcuni Bot, che a loro volta si connetteranno ad altri e così via.
Questa architettura è molto difficile da distruggere in quanto il C&C è ben protetto dalla gerarchia di cui la rete è composta.
2. Decentralizzata
In questa modalità, non esiste un vero e proprio C&C, ma uno o più degli stessi Bot sono il Centro al quale il BotMaster si connette.
Questi poi inviano i comandi gli altri Bot medianti connessioni P2P, rendendo molto difficile fermare questa rete.
In questo caso aumenta quindi la resilienza della rete allo shutdown, ma allo stesso tempo è molto più difficile da costruire.
3. Ibrida
L’architettura ibrida unisce i vantaggi di entrambe.
Un esempio potrebbe essere quello di comunicare su rete P2P con un server che è elettro a Centro di Controllo e Comando, sfruttando poi connessioni HTTP per bypassare le difese della rete.
Oppure rendere “virtuale” il Centro, che però è insito negli stessi Bot.
Utilizzi e Finalità
Sappiamo bene che il fine sono sempre le attività fraudolente legate all’IT.
Vediamo ora più specificatamente però i vari usi per i quali una BotNet viene creata.
Attacchi DDoS
Forse questo uso non è il più comune, ma sicuramente il più pericoloso. Migliaia o milioni di Zombie possono attaccare la stessa risorsa Internet contemporaneamente.
Certamente, come abbiamo visto, ogni Bot può disporre di risorse di calcolo limitate, è qui che però il numero vince.
Un attacco DDoS può mettere la parola “stop” ad importanti servizi che hanno necessità di essere sempre connessi – come il monitoraggio di centrali elettriche o di impianti di trasporto persone.
Spam di Posta Elettronica
Quando hai milioni di elaboratori sotto il tuo controllo, perchè non usarli per bombardare il web di mail malevole?
Se ogni Bot della rete potesse inviare anche solo una mail al secondo, il traffico totale sarebbe spaventoso.
Non solo! La quasi totalità dello spam viene generato da BotNet.
Cavallo di Troia (per Sistemi ICS)
Un Bot potrebbe non avere uno scopo ben preciso, se non quello di diffondere se stesso.
Potrebbe però essere tenuto “dormiente” ed essere successivamente usato per inoculare software dannoso grazie ad esso.
Questi software potrebbero addirittura (vedi Mirai) attaccare sistemi OT, slegati dalla infrastruttura IT. Potrebbero infatti usare la connettività che il Bot garantisce alla BotNet per scaricare qualcosa di più pericoloso.
Il punto di fora è che spesso è molto difficile capire da dove arrivi il malware, proprio perché il software Bot di per sè non fa nulla di dannoso.
Raccolta di Informazioni
Una rete di Zombie può anche essere usata in modalità “passiva”.
I dispositivi infetti raccolgono informazioni e spiano la rete, inviando dati al C&C e al BotMaster.
Questo scopo rende la rete più facile da progettare.
Queste informazioni potranno poi essere usate per ulteriori attacchi o vendute per un compenso (sia alle stesse vittime che ad organizzazioni più o meno legali).
Diffusione di Informazioni
Nell’era dello spionaggio Web, potrebbe essere necessario condividere informazioni riservate che altrimenti potrebbero essere censurate.
Questo tipo di dati può riguardare informazioni classificate di Governi o servizi Militari, ma anche servizi quali streaming illegale o condivisione di contenuti che non sarebbero altrimenti disponibili in un certo Paese.
Questo tipo di utilizzo non ha solitamente fini malevoli – anzi, in molti casi eticamente giusti, come la diffusione di informazioni in paesi ove risiedono regimi dittatoriali.
Dobbiamo però essere consapevoli che il nostro computer è stato “complice” di violazioni dei sistemi di sicurezza e delle informazioni di governi o sistemi industriali.
Frode ai Servizi Pubblicitari (Adware)
I servizi di pubblicità online – chiamati Adware (Advertisment e Software) – sono principalmente basati sul numero di visualizzazioni o “click” ai banner.
Molti criminali utilizzano BotNet per mimare i click e le visualizzazioni di un utente, moltiplicato per milioni di essi.
Non è semplice per un servizio pubblicitario capire quali siano reali e quali siano finti e le tecniche (da entrambe le parti) stanno diventando sempre più raffinate.
Rivendita
Uno degli scopi di una BotNet potrebbe essere la sua stessa esistenza!
Molti esperti creano infatti reti di Zombie al solo scopo di rivenderle perché siano esse utilizzate per scopi criminali come abbiamo visto sopra.
Uno dei problemi in questo caso sarebbe di carattere giuridico: qual è la responsabilità legale del creatore di una rete di Bot venduta a terze parti?
Sicuramente l’infezione dei PC è già di fatto un comportamento criminale!
Riscatto Sociale in Ambienti Underground
Ultimo e forse meno importante, in molti ambienti frequentati da hacker, avere una vasta rete di Bot può avere rilevanza sociale che fornisce prestigio e importanza!
Sono infetto? Come scoprirlo?
Per rilevare un Bot o una BotNet possono essere utilizzati tutti i normali metodi che si utilizzano per malware generici.
Però ci sono anche metodi specifici, una BotNet infatti, a differenza di molti software malevoli ha una caratteristica peculiare: deve essere connessa.
Controllando tutte le connessioni che la nostra rete privata esegue, possiamo individuare connessioni anomale.
Un metodo molto usato è quello di usare un’esca, solitamente un PC particolarmente fragile e di facile compromissione, in modo che software malevoli ne siano “attirati”.
A quel punto si blocca tutto ciò che di anomalo ha compito l’esca, siano essi IP da cui arrivano attacchi, che firme del software che non dovrebbe essere presente (o che non era presente precedentemente).