Cos'è una botnet?

A cosa servono le botnet?

Le botnet vengono utilizzate in diversi tipi di attacchi che traggono in qualche modo vantaggio dall'impiego di un gran numero di dispositivi endpoint gestiti da remoto. Tra le tipologie più frequenti di attacchi tramite botnet troviamo:

• DDoS: in un attacco DDoS (Distributed Denial of Service), gli aggressori inviano traffico da più dispositivi contemporaneamente per sovraccaricare le capacità di elaborazione o di larghezza di banda dei server o dell'infrastruttura di destinazione e impedire la normale erogazione del servizio.
• Phishing e altre frodi via e-mail: le botnet possono inviare grandi volumi di messaggi spam o di phishing da diversi account e indirizzi IP nell'ambito di campagne per il furto di credenziali, truffe finanziarie, diffusione di malware e altro.
• Mining di criptovalute: utilizzando la potenza di elaborazione collettiva di una botnet insieme a un malware di cryptomining, un aggressore può estrarre valuta digitale senza che i proprietari dei dispositivi ne siano a conoscenza o diano il proprio consenso (questo attacco è noto anche come cryptojacking).
• Attacchi di forza bruta: le botnet possono eseguire rapidamente tentativi di accesso consecutivi per accedere agli account online delle vittime oppure utilizzare credenziali divulgate per lanciare velocemente attacchi di credential stuffing su più siti contemporaneamente.
• Offuscamento basato su proxy: gli aggressori possono trasformare i dispositivi botnet in forward proxy per reindirizzare il traffico dannoso, nascondendo identità e posizione. Possono persino vendere l'accesso proxy ad altri aggressori nel dark web.
• Trojan, keylogging e packet sniffing: i malware botnet possono essere utilizzati per monitorare e registrare i dati inviati e ricevuti dal bot o per acquisire le informazioni che gli utenti immettono nei loro dispositivi, come le credenziali di accesso.

Come funzionano le botnet?

Le botnet hanno origine da malware botnet che, come gli altri tipi di malware, vengono distribuiti tramite metodi come e-mail di phishing o exploit delle vulnerabilità, trasformando i dispositivi infetti in "bot". Questi bot comunicano quindi con un server centrale controllato dall'hacker, chiamato server di comando e controllo (C2 o C&C), che viene utilizzato dall'aggressore per impartire istruzioni ai bot.

Oltre a dare istruzioni ai bot per eseguire vari attacchi, il server C2 può rilasciare aggiornamenti dannosi per i software al fine di migliorare o modificare le funzioni e le capacità della botnet, rendendole più difficili da rilevare e neutralizzare. A questo si aggiunge il fatto che una singola botnet può essere composta da centinaia o addirittura migliaia di dispositivi ampiamente distribuiti, e i proprietari spesso ignorano completamente che i loro sistemi ne facciano parte.

Come fanno le botnet a eludere il rilevamento?

Il malware botnet è progettato per passare inosservato operando in modo occulto in background impiegando tecniche avanzate come il codice polimorfico, gli algoritmi di generazione di dominio (DGA) e la crittografia. Questi metodi consentono al malware di modificare il proprio aspetto e alterare o nascondere i propri percorsi di comunicazione, rendendo difficile per le misure di sicurezza informatica convenzionali, come gli antivirus basati su firme o le tradizionali soluzioni hardware per la sicurezza della rete, rilevare, intercettare o analizzare il traffico dannoso collegato alle operazioni delle botnet.

Come vengono controllate le botnet?

Gli operatori delle botnet (a volte chiamati "bot herder") possono controllare i dispositivi bot in due modi principali:

• Controllo centralizzato, in cui il server C2 invia istruzioni a ciascuno dei bot, i quali non comunicano direttamente tra loro
• Controllo decentralizzato o peer-to-peer, in cui il server C2 invia istruzioni a un solo bot, che a sua volta comunica con gli altri bot

Le botnet centralizzate sono più facili da configurare rispetto alle botnet P2P, ma sono anche più semplici da disattivare, in quanto ai ricercatori di minacce basta individuare e disattivare il server centrale. Al contrario, sebbene le botnet P2P abbiano un costo notevolmente più elevato, sono più difficili da chiudere, in quanto è molto più complicato individuare il server C2 tra tutti i dispositivi intercomunicanti.

Quali tipi di dispositivi possono essere interessati?

Praticamente qualsiasi dispositivo connesso a Internet può diventare parte di una botnet, a patto che un aggressore riesca a eseguire un malware su di esso. Tali dispositivi includono:

• Computer, smartphone e altri dispositivi mobili che eseguono uno qualsiasi dei sistemi operativi più comuni
• Server, router e altri hardware di rete che possono facilitare ulteriormente la diffusione degli attacchi
• Dispositivi dell'Internet delle cose (IoT) e della tecnologia operativa (OT), che spesso non dispongono di una sicurezza avanzata e che, nel caso dei tradizionali sistemi di OT "air-gapped", non sono stati progettati tenendo conto dell'iperconnettività. Sfruttando le vulnerabilità dei dispositivi IoT, gli aggressori possono dar vita a enormi botnet in grado di lanciare potenti attacchi DDoS.

Esempi di attacchi botnet

Negli attacchi informatici si fa ampio uso delle botnet su larga scala, perché sono molto difficili da neutralizzare. Diamo uno sguardo ad alcune delle botnet di alto profilo che sono state attive negli ultimi anni:

1. Mirai usa tecniche di forza bruta ed esecuzione di codice in remoto per infettare i dispositivi IoT con malware botnet. Nel 2016 Mirai, una delle famiglie di malware IoT più prolifiche degli ultimi anni, ha sferrato il più grande attacco DDoS della storia.
2. Gafgyt e le sue varianti infettano i sistemi Linux per lanciare attacchi DDoS e, dal 2014, hanno colpito milioni di dispositivi IoT. Le botnet affiliate a Gafgyt sono state responsabili di attacchi DDoS con un'intensità fino a 400 Gbps.
3. BotenaGo utilizza alcune delle tecniche impiegate da Mirai, tra cui l'autenticazione tramite forza bruta, per infettare router e dispositivi IoT. Scritto nel linguaggio open source Go e disponibile su GitHub, può essere facilmente modificato o redistribuito da un qualsiasi potenziale aggressore.
4. Mozi, scoperto nel 2019, fa leva prevalentemente sui dispositivi IoT con credenziali di accesso deboli o predefinite e li infetta con malware botnet. Mozi è stato responsabile di oltre il 5% dei malware diretti all'IoT nella prima metà del 2023.
5. VPNFilter prende di mira router e dispositivi di archiviazione, specializzandosi nel targeting dei dispositivi ICS/SCADA. Presumibilmente creato dal gruppo di spionaggio informatico russo Fancy Bear, è in grado di esfiltrare dati, bloccare i dispositivi e persistere nonostante i riavvii del router.

Come proteggere la tua organizzazione dalle botnet

Grazie alla vasta portata globale, alle tattiche di evasione avanzate e alle comunicazioni cifrate che impiegano, gli attacchi botnet continuano a rappresentare una minaccia diffusa e pervasiva, soprattutto perché le varianti open source proliferano e la massa di obiettivi vulnerabili continua a crescere. Per proteggere i dispositivi della tua organizzazione, il sistema di sicurezza deve essere in grado di rilevare e mitigare costantemente l'attività delle botnet.

Zscaler Internet Access™ (ZIA™) è una soluzione SSE (Security Service Edge) nativa del cloud. Offerta sotto forma di piattaforma SaaS scalabile e attraverso il security cloud più grande del mondo, la nostra soluzione sostituisce le soluzioni di sicurezza della rete legacy per prevenire gli attacchi avanzati e la perdita dei dati con un approccio zero trust completo. ZIA consente di rilevare le attività di botnet e C2 e di fermarle in modo efficace con:

• Sistema di prevenzione delle intrusioni (IPS): ottieni una protezione completa contro botnet, minacce avanzate e minacce 0-day e ricevi informazioni contestuali su utenti, app e minacce.
• Advanced Threat Protection (ATP): approfitta della protezione integrata contro botnet, traffico di comando e controllo, condivisione P2P rischiosa, contenuti attivi dannosi, cross-site scripting, siti fraudolenti e molto altro.

Zscaler Zero Trust SD-WAN gestisce in modo sicuro il traffico dei dispositivi IoT dalle filiali verso le app private e Internet tramite Zscaler Zero Trust Exchange™, che limita il movimento laterale dei malware diretti alle risorse IoT e controlla la comunicazione con i server C2.

Zscaler IoT Device Visibility fornisce una visione completa di tutti i dispositivi IoT, i server e i dispositivi non gestiti degli utenti nell'intera organizzazione, senza richiedere agenti per gli endpoint.