Schema di una botnet. Fonte: Cloudflare
Le botnet rappresentano un pericolo costante per la Rete. In un precedente post dedicato a Reaper, botnet descritta in un primo momento come un agglomerato di milioni di device, avevamo riportato la descrizione fornita dall’azienda di sicurezza informatica Check Point Research:“Le reti botnet sono costituite da dispositivi intelligenti connessi ad Internet, infettati dallo stesso malware e controllati […] da remoto. [Le botnet] sono le principali responsabili dei più gravi cyber-attacchi lanciati a livello globale contro le organizzazioni inclusi ospedali, areoporti, compagnie di telecomunicazione e movimenti politici”.
I criminali dietro alla botnet Andromeda, che stavolta era effettivamente riuscita ad infettare milioni di sistemi (Reaper è stata ridimensionata a soli “28.000” computer), sono stati invece assicurati di recente alla giustizia grazie agli sforzi congiunti di Unione Europea, Stati Uniti, Bielorussia e Russia – gli ultimi due Stati sono tristemente noti per essere al contempo “vivai” di nuove leve e “porti sicuri” nei quali gestire in relativa sicurezza operazioni illegali su scala globale – dal mining di criptovalute (es: Bitcoin) fino all’invio di spam, lancio di campagne ransomware etc.
Nonostante l’importante risultato, Andromeda è lontana dall’essere considerabile come completamente offline: i cosiddetti command and control server (in grado di inviare comandi a tutti gli altri sistemi della botnet) sono stati disattivati dalle forze dell’ordine ma buona parte dei PC coinvolti resta sempre infetta. E’ quanto già successo con Avalanche (dicembre 2016), un’altra botnet neutralizzata grazie al lavoro di squadra di più soggetti ma dalla quale sono stati “disconnessi” e “ripuliti” solo il 45% dei terminali manipolati dagli hacker.
Ad aggravare ulteriormente la situazione la diffusione sul mercato nero (black market) del software utilizzato per la progettazione di Andromeda, il che rende la botnet potenzialmente replicabile da chiunque possegga adeguate conoscenze d’informatica – chi si aggira per il famigerato deep web è teoricamente un ottimo candidato.
Internet of Botnet
Il perchè le botnet siano difficili da contrastare ce lo suggeriscono direttamente i dati degli analisti Gartner e le dichiarazioni del vicepresidente dell’azienda di sicurezza CrowdStrike. I dispositivi connessi ad Internet (classificati come device dell’Internet delle Cose) sono almeno 8 miliardi, un esercito di potenziali “soldati” reclutabili dalle botnet di turno che cresce a vista d’occhio (+31% dal 2016 ad oggi), si legge nei consueti studi dedicati ai dispositivi intelligenti.
“[I consumatori comprano dispositivi al prezzo più basso che riescono a trovare]. Fino a quando ci sarà un mercato per dispositivi low cost e nessuno [si interesserà al problema della sicurezza], credo che la situazione non cambierà” aggiunge il vicepresidente Adam Meyers, preoccupato per la non curanza cronica dei vendor di device IoT in materia di sicurezza – come citato più volte in altri approfondimenti, l’attacco al provider DNS DYN fu lanciato anche grazie all’hacking di centinaia di telecamere di sorveglianza connesse alla Rete le cui credenziali di accesso furono facilmente individuate mediante elementari attacchi brute force.
Data Center tra gli obiettivi sensibili
I data center sono tra i bersagli preferiti dei malintenzionati che grazie alle botnet possono disporre di una “potenza di fuoco” considerevole – es: lancio di attacchi DDoS. Colpire un data center significa rallentare/danneggiare seriamente l’operatività di qualsiasi business.
I sistemi di protezione infallibili non esistono ma secondo l’esperto Jason Brvenik (NSS Labs) è possibile incrementare la sicurezza dei network aziendali affidandosi alle tecniche di isolamento (in grado di bloccare quindi l’espansione della botnet) ed a servizi di monitoraggio (per intercettuare eventuali comunicazioni tra botnet e/o terminali di una botnet).
I device IoT sono ampiamente diffusi anche nelle aziende ed è per questo che i data center manager, aggiunge Brvenik, devono assicurarsi che il produttore del dispositivo garantisca e rispetti determinati standard di sicurezza. Password facilmente individuabili e procedure di aggiornamento vulnerabili ad attacchi man in the middle sono solo alcune delle ingenuità più diffuse in ambito IoT che rappresentano “un invito aperto ai bot” conclude l’esperto.
