di Maurizio Agazzi
Il botnet è un malware con una testa intelligente ed adattiva, è comandato da remoto dal botmaster attraverso una Distribuited Command Control Machine (DCCM). Il malware è paragonabile ad un missile cibernetico con più stadi (moduli) in grado di uccidere i siti web.
Il “pave tacker” guida il bot cercando la preda in modo selettivo in funzione del payback desiderato. Così accade che, se l’organizzazione criminale vuole clonare carte di credito, il pave tacker seleziona gli utilizzatori di acquisti e vendite on-line, mentre, se l’organizzazione criminale vuole conti-online per muovere denaro sporco, il target punta gli utilizzatori di remote banking. Ciò non di meno, accade che il target possa essere multiplo, oppure che esso si vada successivamente popolando di nuovi obiettivi. Succede anche che le alleanze tra organizzazioni cyber criminali porti a condividere la botnet. In queste alleanze accade che il payload del bot è un cluster di decine di virus specializzati su compiti specifici, tra cui anche il furto delle carte di credito, la sottrazione di informazioni sensibili, il furto dell’identità, il furto delle password, il furto delle email. Taluni gruppi di hacker collocano nel payload del bot i moduli che serviranno per scatenare all’occorrenza le tempeste di DDOS. Il DDOS è una strategia di offuscamento utilizzata dalle organizzazioni criminali e terroristiche per rendere inagibile un determinato servizio, può servire per mascherare azioni più importanti. Accade così che nel cyberspace, come nel mondo reale, nella cyber-war come in guerra, il nemico del tuo nemico diventi il tuo alleato, attraverso un’alleanza costituita su reti prossimali (P2P via socket). Quando il payback è interessante, le alleanze che si costituiscono tra gruppi hacker aiutano ad ammortizzare il costo di produzione del bot, il botnet evolve più rapidamente e la minaccia nel cyberspace è più alta.
1. Il malware botnet è paragonabile ad un missile cibernetico con più stadi (moduli). 2. Il “pave tacker” che guida il bot cerca la preda in modo selettivo in funzione del payback desiderato. Il sistema di targeting è adattivo. 3. Una volta penetrato il server, il bot-vettore si auto-compone con il download da Internet di moduli virus specializzati, in funzione del contesto che trova. 4. Il robot intelligente posto nella testata del bot esplora il sistema, facendo leva sulle vulnerabilità non ancora note (zero-day). 5. Il bot scarica ulteriori virus da Internet e disattiva le difese dell’antivirus e del firewall. 6. Il bot apre delle backdoor utilizzando collegamenti via socket. 7. Il payload viene scaricato, il carico è un arsenale di virus. 8. Il bot effettua una scansione del sistema per infettare altri sistemi.
Una volta penetrato il server, il vettore del bot si auto-compone con il download da Internet di moduli virus specializzati, in funzione del contesto che trova. Il robot intelligente posto nella testata del bot da prima esplora il sistema; poi, facendo leva sulle vulnerabilità non ancora note (zero-day), scarica ulteriori virus da Internet, infine disattiva le difese dell’antivirus e del firewall ed apre delle backdoor. Tuttavia il lancio del bot-vettore non è fine a sé stesso, il payload viene scaricato sul bersaglio con un arsenale di virus. Infine il bot effettua una scansione del sistema per cercare nuovi server da infettare.
Internet, con oltre un miliardo di utenti, offre al bot-master un altissimo numero di server accesi 24h24; una volte reclutati, essi vengono ordinatamente specializzati all’insaputa del proprio system administrator. D’altra parte, le dimensioni molto ridotte della “testata” e la crittazione del codice lo rendono praticamente invisibile ai sistemi di protezione (antivirus e firewall). Ma è soprattutto il gap tra attaccanti e difensori a fare la differenza. Le organizzazioni cyber criminali fanno leva su una rapida evoluzione della loro specie, sostenuta anche dalla crescente domanda nel mondo della economia illegale e sommersa d’Internet. Le business company che fabbricano sicurezza informatica sono fondamentalmente soffocate da un sistema di leggi rivolte a tutelare il rispetto di patent-office e copyright, con bilanci che risentono di costosissime ed estenuanti cause legali avviate tra corporate del settore informatico, ipotecando così il futuro della cyber security con la possibilità di mantenere la fruibilità dei copyright di altri player del settore informatico. Inoltre è accaduto che l’industria della cyber sicurezza informatica sia stata essa stessa vittima di cyber attacchi. Il furto di codici e sorgenti, quando accade, ha riflessi negativi anche sugli asset finanziari, perché si bruciano anni di investimenti in ricerca e sviluppo.
Nonostante le avanguardie degli hacker abbiano mosso i primi botnet sin dal 2005, l’aspetto che guida ancora oggi l’antivirus è la signature contenuta nel software, così che gli hacker, intervenendo con poche modifiche sul codice del malware (e ricompilando) riescono a rimettere in circolo varianti del virus botnet che eludono i controlli degli antivirus . Questo perché l’azione dell’antivirus si basa molto sulla conoscenza di virus storici, ma gli attacchi informatici coinvolgono aspetti nuovi che eludono i sistemi di protezione. Succede quindi che nei contesti Enterprise, quando viene sospettato l’attacco è preferibile sostenere il costo del ripristino dell’intero sistema ad uno stato iniziale, per scongiurare che il passepartout possa rimanere nelle mani dell’attaccante, perché l’antivirus non chiude le falle aperte nel sistema dal bot.
vedi articolo correlato: I siti WEB della CIA e del Senato Americano sotto l’attacco degli hacker