Botnet: cos'è, come funziona e come difendersi da un attacco

Leggendo le notizie di attacchi hacker e di DDoS spesso si sente parlare delle botnet come punto d’origine dell’attacco. Questo fa capire come le botnet siano fondamentali per portare a termine gli attacchi hacker, visto che amplificano le capacità offensive dell’attacco con uno sforzo minimo da parte dei malintenzionati, che nella maggior parte dei casi non devono far altro che attivare i PC a distanza tramite malware o exploit specifici.

Nei capitoli che seguono è possibile trovare cosa significa botnet, come funziona questo tipo di rete, quali sono i dispositivi che possono essere colpiti, dove vengono utilizzare le botnet e cosa possiamo fare per evitare che il nostro PC diventi parte di una botnet.

Cos’è una botnet: significato

Il termine botnet è la fusione dei termini “robot” e “network” e illustra bene la sua composizione: di fatto con il termine botnet identifichiamo una rete di computer comandati a distanza (i bot) utilizzati per commettere reati informatici.

Chi crea e gestisce a distanza la rete di botnet viene chiamato botmaster o bot herder e spesso fa capo ad un gruppo di hacker poco etici o a un gruppo di criminali ben attrezzati per poter gestire anche più botnet contemporaneamente.

La pericolosità delle botnet è la semplicità con cui possiamo entrare a farne parte senza nemmeno rendercene conto: il nostro PC o dispositivo improvvisamente si “mette al servizio” del pirata informatico, senza che possiamo fare nulla se non spendere il dispositivo trasformato in bot (o in PC zombie, vecchia definizione dei PC connessi segretamente alle botnet tramite malware).

Come funziona una botnet

Una botnet viene creata infettando un numero elevato di dispositivi tramite malware di tipo Trojan: questi malware speciali (come per esempio ZeuS) vengono diffusi tramite email, link infetti e tramite crack o programmi modificati, installandosi di nascosto sui computer o sui dispositivi compatibili e altamente vulnerabili (senza sistema operativo aggiornato, senza antivirus aggiornato o senza suite di sicurezza professionale).

Dopo l’infezione iniziale non è possibile notare nulla di strano sui device attaccati: essi continueranno a funzionare normalmente, senza dare segni di infezione evidenti. Questa è la fase della botnet “silente”, spesso necessaria per far crescere la botnet fino a dimensioni mondiali (oltre 300.000 dispositivi infettati).

Al momento opportuno il botmaster lancia il comando d’attivazione, trasformando tutti i dispositivi infettati (e connessi ad Internet) in bot o zombie: il botmaster ha ora il pieno controllo dei PC infetti, che può utilizzare per il calcolo distribuito, come punto di diffusione di altre minacce o per un attacco informatico su vasta scala (diffondere altri malware, portare avanti massicci attacchi spam, attacchi DDoS verso server o infrastrutture civili o militari).

I dispositivi vulnerabili

I dispositivi maggiormente esposti alle botnet sono i PC con sistema operativo Windows, che spesso presentano vulnerabilità facili da sfruttare per i pirati informatici. Oltre ai computer Windows sono diventati vulnerabili anche i computer o i server con sistema operativo GNU/Linux, dispositivi Android, gli Apple Mac e i dispositivi mobile creati da Apple (iPhone e iPad).

Negli ultimi anni si sono diffuse anche le IoT Botnet, in cui i dispositivi infettati sono tutti device pensati per l’Internet of Things (come per esempio i dispositivi di domotica); in queste botnet sono presenti solo dispositivi IoT, molto facili da infettare, in grado di portare a termine qualsiasi tipo di attacco e difficili da pulire in caso di infezione.

Le applicazione delle botnet

Le botnet vengono utilizzati per portare a termine tutta una serie di attacchi informatici su larga scala, altrimenti difficili da portare a termine senza un elevato numero di dispositivi. Qui in basso è possibile trovare i principali attacchi informatici in cui trovano largo uso delle reti di bot.

Spam

Le reti di bot possono essere utilizzate per diffondere spam presso un elevato numero di indirizzi email: spesso queste email di spam includono link di phishing o link di malware sufficienti ad accrescere la dimensione della rete o per diffondere ransomware o altri tipi di malware.

La portata delle reti di bot per lo spam è impressionate: utilizzando una botnet di medie dimensioni (300.000 device) è possibile inviare email di spam a tutti gli indirizzi email presenti in Italia.

Attacchi DDoS

Le reti di bot sono alla base degli attacchi DDoS: una sola persona può mettere in ginocchio infrastrutture informatiche molto estese utilizzando una botnet di grandi dimensioni (oltre 5 milioni di device), in grado di effettuare accessi multipli allo stesso sito, portare a termine attacchi al protocollo oppure saturare di richieste DNS un server.

Per gli obiettivi più grandi spesso vengono utilizzati anche più reti di bot insieme, così da amplificare l’effetto dell’interruzione del servizio e colpire anche infrastrutture dotate di sistemi di difesa contro gli attacchi DDoS.

Diffusione virus e malware

Le reti di bot possono essere utilizzate anche per diffondere virus e malware: in questi casi il malware può essere usato per ingrandire la rete di bot in maniera del tutto autonoma (di fatto dopo l’infezione iniziale essa prosegue da sola in tutto il mondo) o per diffondere altri tipi di minacce (come per esempio ransomware).

Con una rete di bot è possibile lanciare un attacco con un malware molto potente, diffondendolo all’interno della rete stessa: in questo modo è possibile ottenere subito un elevato numero di dispositivi infetti, così da poter chiedere subito un riscatto o causare danni molto estesi all’interno di infrastrutture specifiche.

Furto di password e credenziali

Le reti di bot sono utilizzate anche per realizzare furti di password e credenziali d’accesso a diversi servizi informatici. I dispositivi bot che fanno parte della rete sono sotto il diretto controllo del botmaster, che può in qualsiasi momento installare malware in grado di captare i tasti premuti (keylogger) o recuperare le credenziali salvate all’interno dei browser web.

Molti dei furti di password vengono portati a termine tramite malware o trojan presenti sulle reti di bot, che spesso fungono da amplificatore per infezioni che mirano a spiare e rubare dati personali, numeri di carte di credito e conti correnti bancati.

Mining di criptovalute

Le reti di bot si prestano benissimo anche per fare mining di criptovalute, sfruttando l’hardware messo a disposizione dai PC degli ignari utenti facenti parte della botnet. Il botmaster può usare exploit o malware per infettare il computer e, dopo aver ottenuto l’accesso completo, installare dei servizi o dei processi in grado di estrarre criptovalute dalla scheda grafica dedicata del computer (meglio se un PC da gaming).

Le criptovalute così illecitamente estratte finiranno ovviamente nel portafoglio digitale del pirata informatico, che può creare dal nulla le risorse finanziare per portare avanti attacchi informatici.

Esempi famosi di attacchi botnet

Tra i più famosi di attacchi botnet troviamo sicuramente GAmeover ZeuS, utilizzata per velocizzare la diffusione del pericolosissimo ransomware CryptoLocker, che tanti utenti e aziende ha fatto dannare per la difficoltà nel decifrare l’algoritmo usato per cifrare i dati personali.

Altro esempio di botnet di successo è Mirai, pensato per creare reti di bot basate su sistemi Linux. I danni causati dagli attacchi DDoS portati a termine tramite bot insospettabili (come telecamere IP e router dotati di sistemi Linux) sono stati ingenti: sotto i colpi di Mirai hanno ceduto colossi del calibro di GitHub, Twitter, Reddit, Netflix, Airbnb e la Rutgers University.

Come capire se il proprio PC fa parte di una botnet?

Chi è arrivato fino a questo punto con la lettura dell’articolo avrà sicuramente capito quanto sia difficile accorgersi che il computer che stiamo usando è in realtà un bot pronto per essere utilizzato per attacchi hacker. Le difficoltà sono maggiori se ad essere colpiti sono gli smartphone, i dispositivi di domotica, i router o i tablet.

Per capire se il proprio PC fa parte di una botnet dovremo prima di tutto dotarci di un buon firewall, così da poter intercettare eventuale traffico sospetto in uscita: un aumento sproporzionato del traffico in uscita verso un indirizzo IP sconosciuto può far scattare un campanello d’allarme.

Al firewall dobbiamo associare anche un ottimo antimalware e un buon modulo di scansione all’avvio, indispensabile per bloccare i malware e i processi nascosti tra i processi di sistema di Windows. Tutte queste caratteristiche possono essere ritrovate in una suite di sicurezza completa come Norton 360 Deluxe.

Installando questa suite di sicurezza è possibile beneficiare di un livello di protezione superiore, in grado di intercettare e bloccare qualsiasi malware o processo legato alla botnet, oltre a fermare i comandi d’avvio necessari per trasformare il PC in un bot (diffusi via Internet o LAN).

Norton 360 Deluxe è disponibile in abbonamento a 34,99 € per il primo anno; successivamente verrà rinnovato al costo di 94,99 € all’anno. In alternativa, è possibile provarlo gratuitamente per 14 giorni scaricando la versione trial di Norton 360 Deluxe.

Prevenire e difendersi dalla minaccia botnet

Per prevenire e difendersi dalle botnet l’antivirus e il firewall integrati in Windows non sono sufficienti: come visto nel capitolo precedente è necessario puntare da subito su una suite completa come Norton 360, così da disporre di moduli di scansione e di analisi del traffico di rete in grado di intercettare i processi sospettati di lavorare per una botnet.

Oltre a puntare su Norton 360 possiamo seguire delle semplici regole per evitare infezioni da malware ed impedire che il nostro computer possa trasformarsi in un bot.

Cose da fare

• Aggiornare il sistema operativo: un sistema operativo obsoleto o non aggiornato è più esposto agli exploit e ai malware pensati per trasformare il computer in un bot.
• Aggiornare i browser: i browser sono i principali strumenti per accedere alle pagine web e agli allegati di posta e spesso sono il bersaglio preferito di malware, specie se non vengono aggiornati.
• Utilizzare un modulo antispam: per prevenire le infezioni tramite posta elettronica è necessario usare un modulo di scansione specifico per le email, come il modulo incluso in Norton 360.
• Utilizzare una connessione VPN: con una connessione VPN è possibile accedere a siti e servizi senza comunicare il nostro indirizzo IP originale, che non potrà quindi essere utilizzato per attacchi mirati o per entrare a far parte di una botnet.
• Scansionare la rete interna: vista la difficoltà nell’intercettare i dispositivi trasformati in bot (specie se ad essere colpiti sono router o dispositivi di domotica), meglio utilizzare una suite di sicurezza che includa anche un modulo di scansione della rete, così da identificare le vulnerabilità presenti sulla rete LAN e bloccare eventuali accessi alle botnet.

Cose da non fare

• Scaricare file sconosciuti da Internet: avviare il download di crack o di programmi commerciali modificati è il miglior metodo per infettare il PC in maniera silente ed entrare a far parte di una botnet.
• Scaricare eseguibili e file dalle reti P2P: gran parte dei malware creati dai botmaster sono presenti sulle reti P2P, dove è possibile trovare programmi crack, keygen e altri programmi appositamente modificati per diffondere trojan (e creare botnet).
• Usare versioni di Windows non supportate: anche se Windows 7 funziona bene ed è stabile conviene abbonarlo e passare subito a Windows 10 o Windows 11, sistemi operativi molto più sicuri e difficili da infettare.
• Connettersi a reti Wi-Fi pubbliche senza password: non c’è niente di peggio di accedere ad una rete Wi-Fi non protetta, con il rischio di vedere i propri dati personali rubati o manipolati. Se dobbiamo navigare su Internet fuori casa usiamo sempre una connessione VPN per proteggere il traffico.

Conclusioni

Le botnet sono alla base di praticamente qualsiasi attacco informatico su larga scala e possono coinvolgere chiunque: senza saperlo il nostro fedele PC può trasformarsi in un bot e iniziare a compiere da solo attacchi informatici, a causa di una vecchia infezione non intercettata o passata sotto traccia.

Nel nostro piccolo è possibile prevenire la trasformazione dei nostri dispositivi in pericolosi bot seguendo delle semplici regole di sicurezza e utilizzando un sistema di protezione avanzato come quello offerto da Norton 360, in grado di bloccare tutti i malware pensati per trasformare i dispositivi di casa in bot e proteggere la rete interna dalle connessioni sospette.

*Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione.

Domande frequenti sulle botnet

Cosa è una botnet?

Una botnet è una rete di dispositivi sotto il diretto controllo di un hacker informatico, che può utilizzarli per compiere crimini informatici di varia natura. Il device colpito diventa un bot silenzioso, pronto ad attivarsi all’occorrenza.

Le botnet sono pericolose per i PC?

Le botnet sono molto pericolose per i PC che ne fanno parte (spesso senza saperlo). I computer trasformati in bot finiscono sotto il diretto controllo dell’hacker, che può utilizzarli per diffondere spam, portare avanti attacchi DDoS, minare criptovaluta e diffondere malware.

Come accorgersi se il PC fa parte di una botnet?

Allo stato attuale è molto difficile rendersi conto se il PC fa parte di una botnet, visto che le infezioni spesso sono latenti e ben nascoste tra i file e i processi di sistema. Un buon metodo per pulire un PC trasformato in bot prevede l’utilizzo di suite di sicurezza premium, come quella offerta da Norton 360.

Come possiamo fermare l'accesso alla botnet?

Lo strumento principale per bloccare l’accesso alla botnet è sicuramente il firewall: esso blocca le connessioni in uscita sospette, può bloccare l’accesso ad Internet dei processi legati ai malware e “sbattere fuori” un hacker che prova a lanciare un comando d’attivazione per i bot.

Oltre al firewall è consigliabile utilizzare un antivirus potente, un antimalware e un modulo di scansione cloud, tutte caratteristiche presenti dentro Norton 360.

Norton protegge dalle botnet?

L’azienda Norton è leader mondiale nella protezione dei computer domestici e aziendali e la suite di sicurezza offerta al pubblico (Norton 360) può proteggere dalle botnet, dai malware che trasformano i PC in botnet e bloccare sul nascere le connessioni sospette legate alle botnet.