Che cos'è una botnet | Rilevare e mitigare gli attacchi a opera di botnet

Che cos'è una botnet?

Una botnet è composta da svariati dispositivi connessi a Internet, come smartphone o dispositivi IoT, ciascuno dei quali esegue uno o più bot. I proprietari delle botnet controllano queste ultime tramite software C&C (Command and Control) per svolgere svariate attività, solitamente dannose, che richiedono un livello di automazione su vasta scala, tra cui:

  • Attacchi DDoS (Distributed Denial-of-Service) che causano downtime non pianificati delle applicazioni
  • Verifica di elenchi di credenziali divulgate (attacchi di compilazione delle credenziali) che portano al controllo degli account
  • Attacchi alle applicazioni web allo scopo di sottrarre dati
  • Fornire a utenti malintenzionati accesso a un dispositivo e alla relativa connessione a una rete
Le botnet vengono sempre più affittate dai cyber criminali per gli scopi più diversi e rappresentano una minaccia reale per qualsiasi azienda presente in Internet. Questo significa che non è più necessario che gli autori degli attacchi siano in possesso delle conoscenze necessarie per realizzare le proprie botnet, in quanto possono utilizzare botnet già create da altri.

Quanti bot contiene una botnet?

Il numero di bot varia notevolmente da una botnet all'altra e dipende dall'abilità del proprietario della botnet di infettare dispositivi non protetti. Alcuni esempi:

La botnet Mirai

Quando nel settembre 2016 è stata scoperta la botnet Mirai, Akamai è subito diventata uno dei suoi primi obiettivi. Da allora, la piattaforma dell'azienda ha continuato a essere presa di mira e a respingere efficacemente attacchi provenienti dalla botnet Mirai. Le ricerche condotte da Akamai indicano chiaramente che Mirai, come molte altre botnet, sta contribuendo alla massificazione degli attacchi DDoS. Si è osservato che sebbene molti dei nodi C&C della botnet abbiano condotto "attacchi dedicati" contro IP selezionati, sono stati ben più numerosi i nodi che hanno partecipato a quelli che potremmo considerare attacchi di tipo "pay-for-play". In queste situazioni, i nodi C&C della botnet Mirai hanno attaccato gli indirizzi IP per brevi lassi di tempo, divenendo poi inattivi per riemergere in seguito e attaccare obiettivi diversi. Ulteriori informazioni sulla botnet Mirai sono disponibili qui.

Il malware PBot

Ha fatto la propria ricomparsa il malware DDoS PBot, utilizzato per lanciare gli attacchi DDoS più imponenti registrati da Akamai nel secondo trimestre del 2017. Nel caso del malware PBot, utenti malintenzionati hanno utilizzato codice PHP che risale ad alcuni decenni or sono per generare un imponente attacco DDoS. Gli autori degli attacchi sono riusciti a creare una mini botnet DDoS in grado di lanciare un attacco DDoS da 75 gigabit al secondo (Gbps). È interessante notare che la botnet PBot era composta da un numero relativamente contenuto di nodi, circa 400, in grado tuttavia di generare un notevole livello di traffico di attacco. Ulteriori informazioni sul malware PBot sono disponibili qui.

Protezione contro le botnet

È importante capire che una botnet è semplicemente un insieme di dispositivi connessi a Internet che opera sotto il controllo del proprietario della botnet. In quanto tale, una botnet può essere utilizzata per lanciare svariati tipi di attacchi, ciascuno dei quali può richiedere un diverso tipo di protezione. Akamai offre numerose Soluzioni per la sicurezza sul cloud in grado di rilevare e fornire protezione contro gli attacchi a opera di botnet, tra cui: