Il business delle botnet:
un fiorente sistema
economico
Yuri Namestnikov
Il business delle botnet:
un fiorente sistema economico
Metodi adottati dai proprietari
delle botnet per far soldi
2
5
Attacchi DDoS
6
Raccolta di informazioni di natura confidenziale
8
Phishing
9
Spam
10
Spamdexing
11
Download ed installazione
di programmi adware e malware
11
Click fraud (frode sui click)
12
Vendita e affitto delle botnet
13
Conclusioni
14
Yu r i N a m e s t n i k o v
Kaspersky Lab
Il business delle botnet:
un fiorente sistema economico
Nel corso degli ultimi dieci anni, le botnet si sono notevolmente evolute; la
semplice e modesta architettura iniziale (ognuna di tali reti era costituita da
non più di una decina di computer collegati tra loro tramite un unico centro di
controllo, o C&C) ha ormai sempre più lasciato il passo a complessi sistemi
informatici decentralizzati, a larga diffusione, costituiti da milioni di computer.
Ma perché mai - è lecito chiedersi - vengono create «reti-zombie» di così
vaste proporzioni? La risposta è presto detta: per far soldi! E' proprio questo,
in effetti, il principale scopo perseguito dai cyber-criminali.
Una botnet, o rete-zombie, è una rete formata da computer infettati da un programma
maligno, il quale permette ai malintenzionati di controllare a distanza le macchine
contagiate, all'insaputa degli stessi utenti. Le reti-zombie sono ormai divenute
una stabile fonte di guadagno per interi gruppi di criminali informatici. Oltretutto,
le limitate conoscenze tecniche occorrenti per poter gestire una botnet, al pari dei
costi relativamente contenuti, fanno sì che il loro livello di popolarità e diffusione
risulti in perenne crescita.
Ma qual'è l'origine di tale fenomeno, sempre più diffuso? Cosa fa, come procede
un malfattore che intenda avvalersi di una rete-zombie per realizzare i suoi loschi
progetti? Da dove inizia? Il ventaglio di possibilità che egli può sfruttare è davvero
ampio; ovviamente molto dipende dal livello di preparazione tecnica posseduto.
Purtroppo, però, anche coloro che decidono di organizzare una botnet partendo
da zero, possono agevolmente reperire in Internet tutto il materiale e le istruzioni
occorrenti.
Una nuova rete-zombie può essere facilmente creata infettando i computer degli
utenti mediante un particolare tipo di software nocivo, ovverosia il bot. Vengono
soprannominati «bot» tutti quei programmi maligni in grado di collegare ed integrare
alla botnet i computer colpiti dall'infezione. Anche chi non possiede alcuna nozione
od esperienza in materia di programmazione, e desidera comunque lanciarsi nel
«business» delle botnet, potrà sempre reperire in determinati forum certi «speciali»
annunci relativi alla vendita di programmi bot. E non solo: in tali sedi si potranno
altresì «passare ordini» per l'offuscazione e la cifratura del codice di tali programmi,
affinché i software antivirus non siano poi in grado di rilevarli sulle macchine infette.
Ancor di più: è addirittura possibile «rubare» una botnet già esistente.
Per il malintenzionato, il passo successivo sarà poi quello di effettuare il contagio dei
computer appartenenti ad ignari utenti, tramite il famigerato programma malware di
cui sopra, il bot. Al fine di perseguire tale scopo si ricorre così all'invio di apposito
spam, all'inserimento di messaggi nei forum, al «drive-by download», oppure
è addirittura lo stesso bot ad essere provvisto di funzione di autodiffusione, alla
stregua di tutti i virus o worm.
Nel realizzare l'invio di spam commissionato, o «postando» messaggi sui forum,
al fine di indurre subdolamente la potenziale vittima ad installare il programma bot
sul proprio computer, si fa ovviamente ricorso ad un ampio ventaglio di metodi di
ingegneria sociale. Viene proposto, ad esempio, un video dai contenuti interessanti,
la cui visione sarà in ogni caso possibile solo dopo aver scaricato l'apposito codec.
3
Yu r i N a m e s t n i k o v
Kaspersky Lab
Il business delle botnet:
un fiorente sistema economico
Ma...sorpresa! Dopo aver effettuato il download ed aver eseguito tale file l'utente
non potrà vedere proprio alcun tipo di filmato; con ogni probabilità, egli non noterà
neppure delle alterazioni nel corretto funzionamento del computer. In realtà, a questo
punto, il contagio della macchina è già avvenuto. Il computer dell'utente, senza che
quest’ultimo abbia minimamente avuto la facoltà di accorgersene, è pertanto già
divenuto un «devoto servitore» del proprietario della botnet, ed è pronto ad eseguire
tutti i comandi che gli verranno di volta in volta impartiti.
Un secondo metodo di infezione, largamente diffuso, è poi rappresentato dal driveby-download, tramite il quale l'utente, totalmente ignaro di ciò che sta accadendo,
scarica il programma maligno sul proprio computer. In sostanza - è questo il
concetto - semplicemente visitando una pagina web infetta, l'utente rimane vittima
del download, sul proprio computer, del programma maligno. Quest’ultimo riesce
ad introdursi nel sistema sfruttando le vulnerabilità presenti in certe applicazioni
installate, ed in particolar modo in alcuni dei browser più conosciuti. Tali vulnerabilità
vengono attaccate da appositi programmi, denominati «exploit», i quali permettono,
subdolamente, sia il download che la successiva esecuzione del programma
malware sul computer della «vittima». In tal modo, in caso di buon esito dell'attacco,
l'utente non sospetterà minimamente che, sul proprio computer, si è in realtà prodotto
qualcosa di estremamente spiacevole. Tale modalità di diffusione di software
nocivi risulta essere la più pericolosa in senso assoluto, in quanto, nel caso in cui
venga violata una risorsa Internet molto popolare e frequentata, potranno essere
rapidamente contagiate decine di migliaia di macchine!
Fig.1 Tentativo di adescamento degli utenti. (Fake Youtube)
Il bot può anche essere dotato di apposita funzione per autodiffondersi nell'ambito
delle reti informatiche. Esso si può propagare, ad esempio, mediante l'infezione di
tutti i file eseguibili che risultino accessibili, o tramite la ricerca ed il conseguente
4
Yu r i N a m e s t n i k o v
Kaspersky Lab
Il business delle botnet:
un fiorente sistema economico
contagio dei computer vulnerabili presenti in rete. Costituiscono un chiaro esempio
di tale genere di programmi bot i membri delle famiglie Virus.Win32.Virut e NetWorm.Win32.Kido. Il primo è un file virus di natura polimorfica, mentre il secondo è
un worm di rete. Risulta ovviamente difficile valutare appieno l'efficacia dell'azione
nociva prodotta da tali programmi maligni; possiamo in ogni caso senz'altro
affermare che, allo stato attuale, la rete-zombie edificata con Kido è la più estesa
su scala globale.
I computer infettati, appartenenti ad ignari utenti, possono essere agevolmente
controllati dal creatore della botnet grazie ad un apposito centro di comando
(Command&Control Centre), il quale è in grado di collegarsi con i bot mediante
canali IRC, connessioni web o con l'ausilio di qualsivoglia altro mezzo che consenta
di effettuare il collegamento. Sarà sufficiente riunire in rete già solo qualche decina
di computer, perché la botnet inizi a fornire al suo proprietario i primi frutti in termini
economici. Ovviamente, gli introiti saranno poi direttamente proporzionali sia alla
solidità e stabilità della rete-zombie creata che al ritmo di crescita di quest’ultima.
Metodi adottati dai proprietari delle botnet per
far soldi
Ma in che modo i proprietari delle botnet riescono a far soldi grazie ai computer
infettati? Si possono effettivamente distinguere vari indirizzi ed orientamenti
principali, da essi perseguiti ed applicati: attacchi DDoS, raccolta di informazioni di
natura confidenziale, invio di messaggi spam, phishing, spamdexing (per acquisire
illecitamente visibilità nei motori di ricerca), click fraud (frode sui click), download
di programmi adware e malware. Occorre notare che tutte le suddette metodologie
possono risultare notevolmente redditizie, indipendentemente dalle scelte effettuate
dai malfattori. E poi...perché mai dover scegliere, se una botnet permette in pratica
di poter condurre contemporaneamente tutti questi tipi di attività?
5
Yu r i N a m e s t n i k o v
Kaspersky Lab
Il business delle botnet:
un fiorente sistema economico
Fig.2 «Il business delle botne t»
Attacchi DDoS
Numerosi analisti ritengono che il funzionale DDoS fosse già stato messo a punto
ed utilizzato al momento della realizzazione delle primissime botnet. Un attacco
DDoS (Distributed Denial of Service) è, in sostanza, un violento attacco rivolto nei
confronti di un sistema informatico, con il preciso scopo di rendere quest'ultimo non
più in grado di erogare i servizi a cui è stato preposto; in pratica, sotto tale attacco,
il suddetto sistema non potrà più né ricevere né tantomeno elaborare le richieste
ad esso inviate dagli utenti «legittimi». Uno dei metodi più diffusi per la conduzione
dell'attacco consiste nell'inviare al computer «vittima» una quantità inusitata di
pacchetti di richieste; ciò ha ovviamente, come conseguenza, la «negazione» del
servizio, qualora le risorse del computer sottoposto ad attacco si rivelino insufficienti
per poter procedere all'elaborazione di tutte le richieste ricevute. Gli attacchi DDoS
rappresentano un'arma davvero terribile nell'arsenale degli hacker; le botnet,
poi, costituiscono proprio il terreno ideale per poterla dispiegare in tutta la sua
minacciosità. Tali attacchi possono costituire il mezzo ideale sia per condurre lotte
senza scrupoli nei confronti dei principali concorrenti, sia per praticare atti di cyberterrorismo.
Il proprietario di una botnet può rendere un servizio di tale foggia a qualsivoglia
imprenditore privo di scrupoli: ovverosia, condurre un attacco DDoS magari
proprio nei confronti del sito del principale concorrente. Di sicuro, con un attacco
di simile portata, il sito web della concorrenza, oltremodo sovraccaricato,
verrà posto letteralmente in ginocchio, mentre il cyber-criminale di turno
riceverà, a sua volta, il compenso pattuito, spesso di non modesta entità. Allo
stesso modo, i proprietari delle botnet possono avvalersi di attacchi del tipo
DDoS per estorcere denaro alle grandi aziende. Tali società, generalmente,
preferiscono soddisfare le richieste ricattatorie avanzate dai criminali informatici;
6
Yu r i N a m e s t n i k o v
Kaspersky Lab
Il business delle botnet:
un fiorente sistema economico
evitano così, in tal modo, di farsi carico di spese ancora maggiori per riparare ai
danni provocati da eventuali attacchi DDoS giunti a buon fine. Nel mese di gennaio
2009, un attacco condotto nei confronti di una delle più importanti piattaforme di
hosting, godaddy.com, ha avuto come conseguenza l'inaccessibilità, per quasi
tutto l'arco di un'intera giornata, ad alcune migliaia di siti ospitati nei server della
suddetta società. Ma quali possono essere mai state le motivazioni alla base di un
tale attacco? Si è trattato, nella fattispecie, di una mossa illegale effettuata da un
altro hoster nell’ambito della feroce lotta per conquistarsi un posto al sole, oppure
la piattaforma Go Daddy è dovuta piuttosto sottostare a qualche forma di ricatto
da parte di criminali informatici? Entrambe le ipotesi possono risultare oltremodo
credibili. A proposito, nel novembre del 2005, proprio tale hoster fu sottoposto ad
un attacco analogo; in quella circostanza, tuttavia, i servizi da esso erogati rimasero
inaccessibili soltanto per un'ora. Il secondo reiterato attacco, rivelatosi ancor più
terribile del primo, è chiaro testimone dell'evoluzione tecnologica subita dalle botnet.
Nel mese di febbraio 2007 veniva altresì condotta una serie di attacchi nei confronti dei
core server DNS, ovverosia quei server dal cui funzionamento dipende direttamente
la normale operatività dell'intera rete Internet. Risulta tuttavia poco probabile che
lo scopo di tali attacchi possa essere stato, in qualche sorta, la «distruzione» di
Internet, poiché l'esistenza stessa delle botnet, come ben sappiamo, è unicamente
possibile grazie alla presenza della Rete. Riteniamo che possa essersi trattato, più
verosimilmente, di una dimostrazione di forza, delle infinite possibilità di cui possono
avvalersi le reti-zombie.
La pubblicità di servizi riguardanti il compimento di attacchi DDoS viene generalmente
posta in modo molto manifesto all'interno dei forum dediti a tali tematiche. Diamo ora
un'occhiata al «listino prezzi». Gli importi da pagare per l'effettuazione dei suddetti
attacchi possono oscillare da 80 $ sino ad alcune migliaia di dollari per ventiquattro
ore di azione ininterrotta da parte della botnet preposta allo svolgimento dell'attacco
DDoS. Le ragioni di un ventaglio di prezzi così ampio risultano ben comprensibili
e sono largamente fondate. In effetti, per bloccare per l'arco di un'intera giornata
le vendite di un piccolo Internet shop, appartenente alla diretta concorrenza, tra
l'altro sprovvisto di adeguati standard di protezione, sarà sufficiente far ricorso ad
una botnet di dimensioni limitate (composta da circa un migliaio di computer); ciò
si tradurrà, ovviamente, nell'esborso di una somma piuttosto contenuta da parte
di chi ha intenzione di violare le leggi vigenti. Ben diverso sarà invece il livello
di prezzo applicato nel caso in cui la richiesta di condurre l'attacco DDoS abbia
come target il sito, magari ben protetto, di una grande multinazionale concorrente;
nella circostanza, affinché l'attacco possa andare «felicemente» in porto occorrerà
dispiegare un numero considerevolmente maggiore di macchine-zombie. In tal
caso, per centrare l'obiettivo, gli interessati non lesineranno certo le spese.
In base ai dati raccolti da shadowserver.org, nel corso del 2008 sono stati condotti
all'incirca 190.000 attacchi DDoS, in virtù dei quali i criminali informatici sono riusciti
a mettersi in tasca qualcosa come un centinaio di milioni di dollari. Ovviamente,
questa valutazione non tiene conto degli ulteriori introiti derivanti dalle azioni
ricattatorie, la cui entità è impossibile da calcolare e determinare.
7
Yu r i N a m e s t n i k o v
Kaspersky Lab
Il business delle botnet:
un fiorente sistema economico
Raccolta di informazioni di natura confidenziale
Le informazioni confidenziali custodite nei computer degli utenti sono sempre di più
destinate a calamitare le «torbide» attenzioni dei malfattori informatici. Il maggior
interesse da parte loro viene suscitato dai numeri delle carte di credito, dalle
informazioni economico-finanziarie e dalle password utilizzate per l'accesso ai più
svariati servizi on-line: e-mail, ftp, IM (Instant Messaging) ed altri ancora. I programmi
malware di più recente concezione addirittura permettono ai malintenzionati di
effettuare le scelte per loro più convenienti, ovverosia di selezionare solo quei dati
che risultino poi di effettiva utilità per gli scopi che si sono prefissi; per far ciò sarà
sufficiente caricare un apposito modulo nel computer infettato.
I cybercriminali potranno sia rivendere che utilizzare per i propri loschi fini le
informazioni rubate. Ogni giorno, sui forum underground, compaiono centinaia di
annunci riguardanti la vendita di account bancari. Il costo di tali account dipenderà
dalla quantità di denaro presente nel conto bancario intestato all'utente raggirato;
in genere, un singolo account può essere pagato dai 10 ai 1.500 dollari. La soglia
di prezzo minore testé citata, davvero molto contenuta, è determinata dal fatto che,
in ragione della spietata concorrenza esistente in questo ramo del «business»,
i malfattori sono obbligati a praticare una drastica riduzione dei prezzi. Per
guadagnare cifre di una certa consistenza, occorrerà quindi loro un flusso costante
di dati «freschi», che può essere ottenuto espandendo sempre di più le reti-zombie.
Le informazioni di natura finanziaria risultano particolarmente appetibili per i carder,
ovverosia quei loschi individui che falsificano le carte di credito emesse dagli istituti
bancari. La misura della vantaggiosità di tali operazioni può essere fornita citando
il famoso esempio di quel gruppo di cybercriminali brasiliani arrestati due anni fa.
Questi erano riusciti a prelevare illegalmente dai conti bancari ben 4,74 milioni di
dollari, avvalendosi proprio delle informazioni sottratte dai computer.
Sono invece interessati all'acquisto di dati personali, non collegati in forma diretta ai
patrimoni monetari posseduti dagli utenti, i malfattori che effettuano la falsificazione
di documenti, aprono conti bancari fasulli, fanno affari illegali ed altre cose illecite
ancora.
Il valore di mercato relativo ai dati personali rubati dipende poi dal paese in cui
risiede la persona a cui tali dati vengono illegalmente sottratti. Ad esempio, i dati
personali completi di un cittadino USA valgono 5-8 dollari. Al mercato nero, hanno poi
particolare pregio i dati sottratti a cittadini dell'Unione Europea; essi sono, in effetti,
addirittura 2-3 volte più cari di quelli riguardanti gli abitanti di USA e Canada. Ciò
è spiegabile con il fatto che i malfattori possono poi utilizzare tali dati in qualunque
paese facente parte della Comunità Europea. Mediamente, a livello globale, il prezzo
di un pacchetto completo di dati relativo ad una singola persona si aggira sui 7 $.
Gli indirizzi e-mail fanno anch'essi parte della tipologia di informazioni raccolte tramite
le botnet. Tanto più che, a differenza di quanto avviene per i numeri delle carte di
credito e per gli account, da ogni singolo computer infetto è possibile ricavare una
moltitudine di indirizzi di posta elettronica. Tali indirizzi vengono poi posti in vendita,
8
Yu r i N a m e s t n i k o v
Kaspersky Lab
Il business delle botnet:
un fiorente sistema economico
talvolta addirittura «a peso», utilizzando quale parametro i megabyte. Senza ombra
di dubbio i principali clienti sono gli spammer. Ognuno di questi elenchi, composto
da circa un milione di indirizzi e-mail, può costare dai 20 ai 100 dollari, mentre una
campagna commissionata agli spammer per la spedizione ad un analogo numero di
indirizzi può essere pagata 150-200 dollari. Operazione decisamente vantaggiosa,
non c'è nulla da dire!
Risultano altresì interessanti, per i malintenzionati, gli account relativi ai servizi a
pagamento ed ai negozi on-line. Indubbiamente, questi sono più a buon mercato
rispetto agli account bancari; il loro utilizzo comporta poi un rischio minore di
perseguimento da parte degli organi preposti alla difesa della legalità. Gli account
riguardanti il noto negozio on-line «Steam», con una dotazione di 10 giochi, vengono
venduti, ognuno di essi, a 7-15 dollari.
Fig.3 Annuncio su un forum, per la vendita di account Steam
Phishing
In genere, la creazione di un sito phishing comporta, per i malintenzionati, anche il
dover allestire i mezzi più appropriati per impedire che poi ne avvenga la chiusura. E
qui vengono in soccorso proprio le reti-zombie, le quali garantiscono piena operatività
alla tecnologia Fast-flux. Quest'ultima permette, in sostanza, di poter cambiare in
continuazione, ogni pochi minuti, gli indirizzi IP dei vari siti maligni, pur mantenendo,
tuttavia, il nome di dominio. In tal modo sarà assicurata ai siti phishing una maggior
durata nel tempo, rendendo il loro rilevamento ed un'eventuale successiva chiusura
particolarmente complessi e difficili da realizzare. Il concetto di base consiste proprio
nell'utilizzare gli home computer, «caduti» nelle reti-zombie, in qualità di web server
dotati di contenuti di phishing. Molto più dei proxy server, Fast-flux permetterà di
tenere ben celati i siti web contraffatti presenti in Rete.
9
Yu r i N a m e s t n i k o v
Kaspersky Lab
Il business delle botnet:
un fiorente sistema economico
Per esemplificare quanto sopra illustrato, citiamo il famoso raggruppamento di
phisher denominato «Rock Phish», noto per operare in stretta collaborazione con
i gestori della botnet «Asprox». Verso la metà dello scorso anno, i «rock-phisher»,
ritenuti responsabili di almeno la metà degli attacchi di phishing sferrati in ambito
Internet (e a seguito dei quali gli utenti del banking on-line hanno perso addirittura
milioni di dollari!) hanno provveduto a modernizzare le loro «infrastrutture» proprio
avvalendosi dell'utilizzo della tecnologia fast-flux. L'operazione di upgrade ha
richiesto all'incirca cinque mesi; tutto è stato condotto ad un livello di elevata
professionalità. In pratica, i suddetti phisher non hanno creato una loro rete fastflux; si sono bensì avvalsi di soluzioni tecnologiche già esistenti e pronte all'uso,
acquistandole presso i proprietari di Asprox.
Gli introiti ricavati dalla pratica del phishing, stimati in vari milioni di dollari all'anno,
sono paragonabili, per la loro entità, a quelli ottenuti mediante il furto dei dati
confidenziali.
Spam
Ogni giorno, in tutto il mondo, vengono spediti milioni di messaggi spam. L'invio
di posta indesiderata rappresenta una delle principali funzioni svolte dalle botnet
di ultima generazione. Secondo i dati raccolti dagli esperti di Kaspersky Lab, circa
l'80% di tutto lo spam attualmente esistente viene inviato proprio attraverso le retizombie.
Dai computer di utenti sempre ligi agli obblighi di legge vengono così inviati miliardi
di messaggi, aventi come oggetto la pubblicità del Viagra, imitazioni di orologi di
marca, magari casino on-line; questi messaggi letteralmente intasano i canali adibiti
alle comunicazioni e, di conseguenza, le caselle di posta elettronica. In tal modo,
gli hacker mettono a repentaglio i computer di utenti assolutamente incolpevoli; gli
accounti di posta elettronica dai quali viene effettuato l'invio dello spam, vengono in
effetti inseriti nelle blacklist stilate dalle società produttrici di antivirus.
Nel corso degli ultimi anni, la sfera dei servizi di spam si è notevolmente ampliata:
ha fatto la sua comparsa lo spam in ICQ, così come lo spam all'interno di social
network, forum e blog. E anche questo «merito» è da ascriversi ai «padroni»
delle botnet; non è affatto difficile aggiungere al bot client uno specifico modulo
preposto ad allargare gli orizzonti del business, magari con slogan del tipo «Spam
su Facebook. Prezzi supervantaggiosi!!!»
I prezzi adottati per lo spam variano a seconda del target di pubblico a cui esso è
rivolto, così come in base alla quantità di indirizzi utilizzati per l'invio dei messaggi
indesiderati. Il range può variare dai 70 dollari (per alcune centinaia di migliaia di
indirizzi) ai 1.000 dollari (alcune decine di milioni di indirizzi).
10
Yu r i N a m e s t n i k o v
Kaspersky Lab
Il business delle botnet:
un fiorente sistema economico
Spamdexing
(metodo per acquisire illecitamente visibilità
nei motori di ricerca)
Un'ulteriore variante nell'utilizzo delle botnet viene applicata nell'ambito del SEO
(Search Engine Optimization), il processo di ottimizzazione dei risultati ottenuti nei
motori di ricerca. Com'è noto, i webmaster aspirano sempre ad ottenere, per i siti
da loro elaborati, la migliore posizione possibile a livello di risultati restituiti dai vari
motori di ricerca. Quanto più alto sarà il ranking da essi ottenuto, tanto più probabile
risulterà poi un consistente flusso di visitatori verso il sito, proprio in ragione degli
eccellenti risultati raggiunti sui motori di ricerca.
I search engine, nel determinare la rilevanza di un sito, tengono in considerazione
numerosi fattori. Uno dei principali parametri di valutazione è costituito dal numero
di link che fanno riferimento ad un sito, da altre pagine web o altri domini. Maggiore
è la quantità di link esistenti, tanto più elevato sarà il ranking ottenuto nell'ambito dei
motori di ricerca; le parole di cui si compone il collegamento ipertestuale sono poi,
anch'esse, altrettanto determinanti. Il link che recita «acquistate i nostri computer»,
in effetti, avrà un peso ed una rilevanza notevoli nel caso in cui, ad esempio, si
inseriscano nella stringa di ricerca le parole «acquistare un computer».
Di per se stesso il business legato alla Search Engine Optimization rappresenta
un ghiotto boccone. Vi sono, in effetti, molte società disposte a pagare consistenti
cifre ai webmaster affinché il proprio sito raggiunga le prime posizioni nel ranking.
Anche i proprietari delle botnet, così, hanno elaborato vari metodi per automatizzare
il processo di ottimizzazione dei risultati che si ottengono sui motori di ricerca.
Pertanto, quando vedrete una moltitudine di link (generati da sconosciuti, ma
talvolta magari, chissà, proprio dalla vostra cerchia di amici) comparire in certi
commenti agli articoli pubblicati sulla vostra rivista on-line preferita, o su una foto
particolarmente accattivante piazzata all'interno di un sito, non meravigliatevi:
qualcuno avrà semplicemente ordinato ai proprietari di una botnet di effettuare una
campagna di spamdexing in favore del proprio sito. Esiste in effetti, a tal proposito,
un particolare programma che può essere caricato sul computer-zombie e che, a
nome del proprietario di quest'ultimo, è poi in grado di lasciare dei commenti sui siti
più frequentati, commenti contenenti link al sito da «spingere» sui motori di ricerca.
In media, i prezzi per i servizi (ovviamente illegali) di spamdexing sono nell'ordine
dei 300 $ al mese.
Download ed installazione di programmi
adware e malware
Immaginatevi: state leggendo in tutta tranquillità, su Internet, le pagine della vostra
rivista preferita sul mondo dell'automobile; all'improvviso, sul vostro schermo
compare una finestra, dove vi viene proposto l'acquisto di accessori originali.
11
Yu r i N a m e s t n i k o v
Kaspersky Lab
Il business delle botnet:
un fiorente sistema economico
E' molto difficile pensare, sul momento, che possa trattarsi di qualcosa di «non
buono»; forse, state già addirittura facendo un pensierino per procedere agli
acquisti consigliati, anche se, a dir la verità, siete sicuri al 100% di non aver mai
installato sul vostro computer un programma per la ricerca di prodotti a voi utili (o
inutili...). Comunque, non c'è bisogno di interrogarsi tanto a lungo su quanto vi sta
accadendo: gli artefici di tutto ciò non sono che i proprietari di qualche botnet, i quali
si sono «presi cura» di voi.
Vi è in effetti una gran quantità di imprese (che offrono servizi di pubblicità online) disposte a pagare affiché venga effettuata l'installazione del proprio software
sul computer di ignari utenti. In genere da ciò non si ricavano, comunque, grandi
somme di denaro. Tuttavia, qualora disponga di una botnet, il malintenzionato di
turno potrà, con pochi click, installare velocemente qualsiasi genere di software su
migliaia di computer, ricavandone una somma consistente.
D. K. Scheifer, il famoso pirata informatico che fu condannato nel 2007, utilizzando
una botnet composta da più di 250.000 macchine, nell'arco di un solo mese riuscì a
guadagnare più di 14.000 dollari, installando programmi adware su almeno 10.000
computer.
I cyber-criminali il cui business in Rete consiste proprio nella larga diffusione di
programmi maligni, spesso operano seguendo uno schema analogo: in sostanza,
essi sono disposti a pagare per ogni avvenuta installazione del proprio software sugli
altrui computer. È interessante rimarcare come i prezzi varino a seconda del paese
in cui tale atto criminale viene realizzato. Ad esempio, per installare un malware su
un migliaio di computer residenti in Cina, si pagano in genere 3 dollari, mentre negli
USA tale cifra può lievitare sino a 120 dollari. La spiegazione di tale disparità nei
prezzi è molto semplice: le informazioni carpite nei computer degli utenti di paesi più
sviluppati sono ritenute più preziose, più «redditizie» in termini economici.
Click fraud (frode sui click)
Come è noto, lo schema PPC (Pay-per-Click), adottato dalle società che si occupano
di pubblicità on-line, prevede che il pagamento venga effettuato ad ogni clic su
ciascuno degli annunci pubblicati. Per i titolari delle botnet, truffare queste società
costituisce davvero un affare molto redditizio.
Prendiamo, a mo' di esempio, il famoso network Google AdSense. Gli inserzionisti
pagano a Google una certa somma per i clic ottenuti sugli annunci pubblicati, nella
speranza, ovviamente, che qualche navigatore della Rete dia un'occhiata al loro
sito e, soffermandosi sulle pagine Web raggiunte, effettui magari anche qualche
acquisto.
Google, per parte sua, colloca i suddetti annunci pubblicitari nei siti che prendono
parte al programma AdSense, pagando ai proprietari di tali siti una percentuale
su ogni clic realizzato. Ma, ahimé, non tutti i proprietari dei siti sono delle persone
oneste. E così, disponendo di una rete zombie, un hacker sarà in grado di generare
migliaia di singoli clic al giorno, uno per ogni macchina di cui si compone la botnet,
12
Yu r i N a m e s t n i k o v
Kaspersky Lab
Il business delle botnet:
un fiorente sistema economico
al fine di non destare particolari sospetti presso Google. In tal modo, i soldi spesi
per pagare la società che gestisce la campagna pubblicitaria, vanno a finire in larga
parte proprio nelle tasche degli hacker. E, purtaroppo, non si è finora verificato
nessun caso in cui l'autore di simili azioni criminose sia stato tradotto in giudizio.
Vendita e affitto delle botnet
Parliamo adesso di quei «padroni» delle botnet sempre un po' troppo...affaccendati.
E' proprio il caso di dire che la formula «merce-soldi-merce», coniata da Marx ed
universalmente nota, si trasformi, per i proprietari di reti-zombie di grandi dimensioni,
nel motto «botnet-soldi-botnet». E' facile intuire che, per mantenere sempre a galla la
propria botnet, per assicurarsi un costante inglobamento di nuove unità-zombie, per
proteggersi dal possibile rilevamento dei bot da parte dei programmi antivirus, così
come dall'eventuale individuazione del C&C (Command&Control Centre), l'hacker
dovrà sia effettuare degli investimenti iniziali che affrontare poi spese ricorrenti. E'
altresì verosimile che egli non abbia sempre il tempo necessario per procedere
in prima persona all'invio di messaggi, installare software, compiere furti di dati
riservati e rivendere poi le informazioni carpite illegalmente. Sarà quindi molto più
semplice, per lui, concedere la botnet in affitto, o addirittura venderla, tanto più che
non mancheranno di certo clienti desiderosi di assecondarlo.
L'affitto di una botnet dedita all'invio di messaggi spam tramite posta elettronica,
con velocità di invio pari a circa 1.000 e-mail al minuto (con 100 macchine-zombie
collegate on-line) costa sui 2.000 dollari al mese. Il valore di una botnet pronta
all'uso, così come il canone di affitto di una rete-zombie, dipende ovviamente dalla
quantità di computer infetti che ne fanno parte. Le botnet di piccole dimensioni,
formate solo da alcune centinaia di bot, costano dai 200 $ ai 700 $. Le botnet
molto estese si situano invece su valori nettamente superiori. La rete Shadow,
creata da un diciannovenne hacker olandese e formata da più di 100.000 computer
situati in ogni angolo del mondo, è stata venduta per 25.000 euro. Con tale cifra, si
può già benissimo comprare una casetta in Spagna, ma, a quanto pare, un pirata
informatico brasiliano ha piuttosto preferito investire analoga somma nell'acquisto
della suddetta botnet.
13
Yu r i N a m e s t n i k o v
Kaspersky Lab
Il business delle botnet:
un fiorente sistema economico
Conclusioni
Ogni giorno piovono somme stratosferiche nelle tasche dei gestori delle botnet.
Contro questo tipo di business illegale viene condotta una lotta senza quartiere,
dispiegando tutti i mezzi possibili; la legislazione che lo inquadra, tuttavia, si rivela
essere del tutto inefficace. Tra l'altro, nemmeno in tutti i paesi vengono promulgate
leggi sullo spam, sulla creazione e diffusione di programmi maligni oppure sulla
violazione delle reti informatiche, sempre che tali leggi siano poi effettivamente
adottate. I proprietari, od i creatori di reti-zombie condotti sinora in giudizio si possono
contare sulle dita di una mano. Purtroppo, invece, il numero delle botnet operanti su
Internet è molto elevato; si stima che ne esistano attualmente più di 3.600. Inoltre,
il computo delle reti-zombie funzionananti non è affatto semplice; mentre è stata
rilevata l'esistenza di alcune decine di botnet molto estese, la cui operatività non
può di certo passare inosservata in ragione delle loro estese dimensioni, vi è altresì
una moltitudine di botnet minori, la cui individuazione e classificazione risulta essere
piuttosto complicata.
Al momento attuale, il metodo di lotta più efficace per combattere le botnet
sembra essere quello che contempla la più stretta sinergia tra esperti dell'industria
antivirus, ISP (Internet Service Provider) ed organi preposti all'osservanza della
legalità. Probabilmente, uno dei risultati più significativi di tale azione congiunta è
stato l'avvenuta chiusura di ben tre organizzazioni: EstDomains, Atrivo e McColo.
Rileviamo in particolar modo come la chiusura di McColo, sui cui server erano
ospitati i centri di comando di alcune delle spam-botnet più importanti, abbia avuto
quale effetto immediato una drastica riduzione della quantità di spam presente in
Internet, diminuita in sostanza di almeno la metà.
Gli esperti del settore tengono d'occhio l'attività di migliaia di botnet; dal canto loro,
i prodotti antivirus rilevano ed annientano i bot, che si sono ormai propagati in ogni
angolo del pianeta; purtuttavia, soltanto gli organi preposti a far rispettare le leggi
in vigore hanno la reale possibilità di arrestare l'attività dei centri di comando e
di catturare i malfattori, «spegnendo» a lungo, in tal modo, le botnet esistenti. La
chiusura di McColo, di cui abbiamo parlato sopra, ha comunque sortito effetti di breve
durata: già dopo solo qualche settimana, il flusso di spam ha fatto rapidamente ritorno
al suo abituale livello. I proprietari delle botnet avevano semplicemente trasferito
i centri di comando sulle piattaforme di altri provider di hosting, continuando ad
occuparsi imperterriti del loro losco «business», come se nulla fosse successo. Ciò
che occorre veramente, in realtà, è un'azione di contrasto continuativa, non certo
qualche controllo sporadico. Ahimé, non è sufficiente tagliare una sola testa!
E comunque, senza un opportuno aiuto da parte degli utenti, la lotta condotta
contro le botnet non potrà mai essere davvero efficace. Ricordiamoci, difatti, che
sono proprio gli home computer a costituire il corpo più rilevante nell'esercito delle
botnet esistenti. Non osservare le più comuni regole di sicurezza informatica - quali
l'impiego di un adeguato software antivirus, l'utilizzo di password solide e resistenti
per i vari account creati, l'astenersi dall'avviare file autorun da supporti mobili - può
facilmente condurre il vostro computer a divenire parte attiva di una botnet, ponendo
letteralmente nelle mani di individui malintenzionati i vostri dati più sensibili e le
vostre risorse più preziose. Perché mai, quindi, aiutare i criminali informatici?
14
Yu r i N a m e s t n i k o v
Kaspersky Lab