Il termine inglese “botnet” è costituito dalle parole “robot” e “network” (in italiano “rete”). Una botnet, dunque, può essere letteralmente definita come una rete di robot, ovvero un insieme di computer e dispositivi che, a seguito di un'infezione da malware, vengono comandati da remoto da un soggetto terzo (o da un gruppo composto da più soggetti). È degli ultimi giorni la notizia secondo cui «La botnet 911 S5 ha infettato oltre 19 milioni di indirizzi IP per consentire miliardi di dollari in frodi legate alla pandemia e alla disoccupazione e all'accesso a materiale di sfruttamento minorile», come riferisce una nota ufficiale pubblicata dall'Ufficio degli Affari Pubblici del Dipartimento di Giustizia americano riguardo a 911 S5, definita dall'FBI la più grande botnet del mondo. Ma esattamente cos'è una botnet e come funziona? Soprattutto, è possibile difendersi? Facciamo chiarezza.
Che cos'è una botnet e come funziona
Una botnet è un insieme di computer “zombie” controllati da remoto da cybercrimiali al fine di compiere attacchi informatici. Per alimentarsi ed espandersi distribuisce malware per infettare altri sistemi informatici. Più computer e dispositivi vengono “arruolati” dai criminali informatici, maggiore sarà il numero di risorse che questi avranno a disposizione per sferrare attacchi coordinati. Ecco spiegato il motivo per cui talvolta le botnet contano milioni di bot!
Addentriamoci un po' più nel funzionamento tecnico della botnet analizzando i principali “attori” coinvolti in questo particolare fenomeno. Abbiamo innanzitutto i botmaster (chiamati anche bot herder), ovvero gli hacker (sarebbe più corretto dire in realtà i cracker) che utilizzano i comandi remoti per guidare un collettivo di computer violati. Questi ultimi prendono il nome di bot o computer zombie e, come facilmente intuibile, rappresentano i singoli dispositivi infettati dal botmaster tramite malware. In ultima analisi abbiamo le vittime, ovvero coloro che inconsapevolmente scaricano il malware che intacca i loro sistemi.
Come fanno i botmaster a creare una botnet? Solitamente il modus operandi comprende 3 fasi principali.
- Preparazione: in questa fase il botmaster sfrutta le vulnerabilità tecniche presenti in un sito, in un'applicazione, etc. per violare la risorsa informatica e usarla come veicolo di potenziali infezioni. In altri casi potrebbe diffondere il malware inviando link malevoli tramite e-mail, messaggistica online, etc.
- Infezione: se l'utente cade nella “trappola” preparata dal botmaster, andrà a scaricare il malware (solitamente in modo del tutto inconsapevole). Questo potrebbe avvenire in diversi modi, ad esempio scaricando un file all'apparenza innocuo ospitato su un sito Web violato dal cyberciminale oppure scaricandolo tramite un link ricevuto via e-mail. Negli attacchi più “raffinati” il botmaster potrebbe usare anche il cosiddetto download drive-by (ovvero un download involontario di software da parte dell'utente, che quindi scaricherà il malware senza dover compiere alcuna azione sul sito che ha ingenuamente visitato.
- Attivazione e controllo: il botmaster a questo punto organizza tutti i dispositivi che è riuscito a infettare in una rete di "bot" che potrà gestire da remoto. Una volta infettato, infatti, un bot agisce come un vero e proprio computer zombie permettendo a chi lo controlla di avere privilegi di amministratore per poter leggere e scrivere dati di sistema, raccogliere dati personali della vittima e monitorarne le attività, inviare file e altri dati, e così via. Dopo aver messo in piedi la botnet, il botmaster andrà a sfruttarla a seconda degli obiettivi criminali che intende raggiungere: inviare spam e virus, lanciare attacchi DDoS (Distributed Denial of Service), rubare dati personali da rivendere nel Dark Web, impiegare le risorse hardware dei dispositivi infetti per il mining di cryptovalute, e così via.
Come difendersi da una botnet
Nonostante la scaltrezza dei criminali informatici, difendersi da una botnet è possibile. Naturalmente, dato che i pericoli informatici sono sempre dietro l'angolo, per riuscirci è necessario essere utenti particolarmente accorti. Un buon punto di partenza potrebbe essere quello di seguire una sorta di “routine di cybersecurity” che comprenda i seguenti accorgimenti:
- Usare password sicure e aggiornarle frequentemente: usare password lunghe e complesse (ad esempio delle passphrase, ovvero frasi d'accesso prive di senso che sono al tempo stesso facili da ricordare) e aggiornarle periodicamente è uno dei modi migliori per innalzare la propria sicurezza informatica. Laddove è possibile, inoltre, è consigliabile attivare l'autenticazione a due fattori e le passkey (quest'ultime sfruttano i sistemi biometrici per accedere ad account e sistemi vari)
- Fare regolari scansioni antivirus e antimalware: questo è particolarmente importante se si utilizza un PC Windows o un dispositivo Android.
- Non scaricare file e allegati da fonti sospette: è importante fare attenzione a questo aspetto specialmente se questi sono ospitati su siti Web privi del protocollo HTTPS e/o provenienti da indirizzi e-mail sconosciuti.
- Non acquistare dispositivi dalla dubbia sicurezza: spesso le botnet mirano a infettare anche dispositivi per la smart home. Quelli più economici sono solitamente anche quelli meno sicuri dal punto di vista informatico, per cui è meglio evitarli.