Ti è mai capitato di avere un dispositivo che all'improvviso ha iniziato a funzionare lentamente o è diventato rovente anche se non lo stavi usando per nulla di anomalo? Ci sono buone probabilità che fosse infetto e che possa essere stato usato come parte di una botnet!
Una botnet è un gruppo di computer o dispositivi Internet of Things (IoT) compromessi che sono sotto il controllo di un hacker (noto anche come “botmaster” o “bot herder”). Consentono a un botmaster di lanciare attacco su larga scala tramite le risorse di elaborazione aggregate rese accessibili dalla botnet.
Come vengono create le botnet?
Per creare una botnet, i botmaster infettano innanzitutto una rete di dispositivo che utilizzeranno per eseguire attacco. Per infettare i dispositivo, gli hacker entrano tramite exploit del software, exploit del firmware o download di malware da un link o file compromesso. Una volta che un dispositivo è infettato, il botmaster può usare le risorse computazionali combinate per eseguire i propri attacchi, spesso senza che il proprietario del dispositivo ne sia a conoscenza. Sebbene non esista un numero prestabilito di dispositivi infettati necessario per creare una botnet, più estesa è la rete di dispositivi infettati, più significativo può essere l'impatto di un attacco. Una volta infettati, esistono due modelli per controllare i dispositivo.
Modello client-server
Il controllo dei bot richiede un'infrastruttura che consenta la comunicazione tra il server (il botmaster) e i relativi client (il computer o i dispositivo infetti). Il modello client-server è stato il primo a essere adottato e funziona creando un server centralizzato (server di comando & controllo o, in breve, C&C) per consegnare istruzioni. In altre parole, nel modello client-server, i client si basano esclusivamente sulle istruzioni fornite dal server C&C del botmaster. Questa dipendenza crea il maggiore svantaggio del modello perché, se il server C&C viene individuato e disabilitato, l'intera botnet diventa inutilizzabile.
P2P e comando e controllo decentralizzati
I modelli peer-to-peer (P2P) e C&C decentralizzati sono emersi per aggirare lo svantaggio centralizzato del modello client-server. In questo modello, qualsiasi client può operare come server. Invece di ricevere istruzioni da un'unica fonte, qualsiasi client nella botnet può propagarle. Sebbene questo modello possa rallentare la distribuzione delle istruzioni, rende quasi impossibile smantellare questa botnet.
Che tipo di attacchi consentono le botnet?
Le botnet possono eseguire qualsiasi attacco che un computer può eseguire, ma la differenza sta nella scalabilità dell'attacco. Gli attacchi più potenti in termini di volume, inclusi DDoS, acquisizione dell'account e spam, sono quelli in cui le botnet colpiscono più frequentemente. Alcuni attacco botnet diffusi includono gli attacchi DDoS del 2016 della botnet Mirai, che hanno messo fuori uso siti web popolari come Twitter, Netflix e Reddit, e l'uso da parte della botnet 3ve di quasi 2 milioni di PC per commit frodi sui clic per un valore di quasi 30 milioni di $.
Il futuro delle botnet
Noterai che in questo articolo abbiamo usato il termine «dispositivo» invece di «computer». Sebbene i computer fossero l'obiettivo dei botmaster, negli ultimi anni abbiamo visto che qualsiasi dispositivo IoT può essere sfruttato da questi hacker: ad esempio, elementi come router, smartphone, smartwatch e qualsiasi altro dispositivo connesso a Internet possono essere violati e utilizzati in una botnet. Quel frigorifero intelligente nella tua cucina? Sì, anche quello avrebbe potuto essere usato per attaccare il tuo sito web preferito. Purtroppo, molti dispositivi IoT non sono stati inizialmente sviluppati con la capacità di proteggersi adeguatamente dagli attacchi. Fortunatamente, poiché i dispositivi IoT sono connessi a Internet, gli aggiornamenti software sono spesso sufficienti a impedire che il tuo frigorifero impazzisca. Dai un'occhiata alla storia dei bot per saperne di più sui bot reali e sulle botnet nel corso di ogni decennio.