Guida ai botnet, il network di PC infetti

Cresce il numero degli attacchi It a utenti che si ritrovano uno zombie al posto del PC. Il legame con il cybercrime.

maggio 2008 “Le truffe botnet stanno esplodendo”, titolava qualche mese fa il giornale americano più diffuso negli Stati Uniti, Usa Today.
Dall’articolo un’affermazione su tutte: in una normale giornata, il 40% degli 800 milioni di computer connessi a Internet sono ormai computer “zombie”, computer sfuggiti ormai dal controllo dei loro proprietari e facenti parte di botnet, (reti di computer infettati) controllate da remoto da cracker (pirati informatici), all’insaputa dei legittimi utilizzatori.

Lo scopo? La distribuzione di mail di spam, furto di dati sensibili su altri computer, o per sferrare attacchi DDos (Denial of Service Attack).
Ma il problema non interessa da vicino solo gli Stati Uniti. Dall’ultimo Internet Security Threat Report di Symantec, emerge che nella regione EMEA (Europe, Middle East, Africa) il numero di computer infettati da bot al giorno è stato di 25.344, in netto aumento rispetto ai 18.616 dei primi sei mesi del 2007.

Inoltre, la Germania risulta essere il paese con il maggior numero di computer infettati dai bot in EMEA, con il 18% del totale, mentre l’Italia si trova al quarto posto.
Madrid è la città col maggior numero di computer infettati da bot, ma Roma e Milano si piazzano rispettivamente al terzo e quarto posto.

Bot e botnet: cosa sono?
Ma che cos’è una botnet? Si tratta di una rete di computer infettati da bot, un tipo di malware simili ai worm e ai trojan che consentono all’aggressore (il cracker, nello specifico) di assumere il controllo del computer colpito.

Il termine bot può essere interpretato anche come l’abbreviazione di “robot”, in quanto i computer colpiti rispondono agli ordini del loro mandante, che si trova di solito al sicuro in qualche parte della Rete.
Le attività che svolgono i bot variano dall’invio di spamming alla paralisi di siti Web attraverso, come abbiamo visto, attacchi di tipo denial-of-service coordinati.

Come si diventa zombie?
I bot si introducono nei computer dei navigatori in molti modi. Possono essere scaricati da un virus Trojan Horse, possono venire installati sul PC da una pagina Web nociva o inviati direttamente tramite e-mail a un utente da un altro computer infetto.

Durante l’anno passato, il protocollo più utilizzato per ampliare le botnet è stato il canale IRC, anche se recentemente chi gestisce le botnet si sta orientando verso l’HTTP e il P2P, anche perché, rispetto all’IRC, il traffico pericoloso in questi ambienti è più difficile da rilevare da parte dei sistemi dedicati alla sicurezza.

I bot si diffondono in Internet cercando e sfruttando le vulnerabilità dei sistemi: quando ne trovano uno esposto, lo infettano rapidamente e ne informano il computer principale. L’obiettivo è di rimanere nascosti fino al momento in cui vengono riattivati dal proprio controllore per svolgere qualche compito.
Il problema è che sono davvero difficili da scovare e spesso le vittime ne vengono a conoscenza solo quando il fornitore di servizi Internet le informa che il loro computer sta inviando messaggi di spamming ad altri utenti Internet.

I computer infettati vengono organizzati quindi in reti, le “botnet”. Ogni computer zombie è controllato da un computer principale, chiamato server di comando e controllo.
Dal server di comando e controllo i criminali informatici gestiscono le proprie botnet e inviano istruzioni all’esercito di zombie perché eseguano operazioni per loro conto.

Le botnet sono composte in genere da un gran numero di computer vittima distribuiti in tutto il mondo, ma a volte possono controllare da alcune centinaia a un paio di migliaia di computer, fino ad arrivare a gestire centinaia di migliaia di zombie.

Botnet e crimine organizzato
I programmi di bot hanno attualmente un ruolo predominante nel cybercrime.
Vista la quantità di PC potenzialmente controllabili attraverso una botnet, questa capacità pone nelle mani dei criminali informatici una grande potenza di calcolo e una notevole ampiezza di banda.

Più cresce il numero dei computer infetti, maggiore diventa la pericolosità della botnet e maggiore è la possibilità di trarre guadagno.
Anche perché in rete esiste un vero iper mercato di PC infetti, reperibili in maniera davvero semplice, che possono essere “affittati” da chiunque lo desideri ad un prezzo che si aggira, secondo dati recenti, sui 20 centesimi di dollaro a bot.

L’obiettivo dipende dai desideri del criminale-cliente: si varia dall’invio di spam per pillole di Cialis all’installazione di trojan-keylogger con cui rubare dati sensibili, fino a giungere alla diffusione di nuovi malware. L’affitto delle botnet non è certo una novità, ma lo è il fatto che cracker e virus writer non sembrano ormai più temere le conseguenze delle loro azioni e le svolgano quasi alla luce del sole.

Alcuni esempi di come bot e botnet vengono utilizzati per compiere crimini informatici

Crimine

Utilizzo di bot e botnet

Denial of service

Alla fine degli anni ’90, le reti di computer “zombie” venivano utilizzate per paralizzare siti web e renderli inaccessibili agli utenti, spesso impedendo le attività di e-commerce.Talvolta gli attacchi denial-of-service sono delle semplici “scorribande” in Internet mentre altre volte vengono orchestrati con scopi criminali.

Estorsione

Mentre alcuni attacchi denial-of-service vengono sferrati da computer zombie contro un sito Web o altro servizio on line senza preavviso, per altri viene fornito un preavviso a scopo di estorsione, come avviene per i racket di protezione. Nei piani di questo tipo, il criminale minaccia di paralizzare il sito web o il servizio on line di un’azienda per un periodo di tempo se non viene effettuato un pagamento, di solito in un orario di punta in modo da causare il massimo danno possibile e dirottare altrove i clienti contrariati.

Furto di identità

I bot giocano un ruolo determinante nel furto d’identità, non solo infettando il computer ma anche sottraendo informazioni personali alla vittima ed inviandole al criminale.

Spamming

Le botnet svolgono un ruolo centrale nell’industria moderna dello spamming: i bot raccolgono gli indirizzi e-mail per conto degli spammer e vengono utilizzati anche per inviare i messaggi. L’invio di spamming tramite le botnet è molto comune in quanto rende più difficile individuare gli autori di spamming; questi possono infatti inviare i messaggi da molti computer (tutti i computer infetti della botnet) invece che da uno solo.

Frode (phishing)

Tra gli strumenti utilizzati dagli autori di phishing sono quasi sempre presenti i bot. Analogamente agli spammer, gli autori di phishing utilizzano i bot per indentificare le potenziali vittime e inviare e-mail fraudolente che sembrano provenire da organizzazioni legittime quali la banca dell’utente. Gli autori di phishing utilizzano i bot anche per ospitare siti web contraffatti, che vengono usati per sottrarre agli utenti informazioni personali e servono come punti di raccolta (server “dead drop”* o “egg drop”) dei dati rubati.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome