Alla ricerca di botnet. Segugi che sniffano e tracciano il traffico dei pacchetti, seguendo le orme delle botnet su Internet, scovarle e chiuderle. Nello scenario di una Internet fatta di guardie e ladri, ecco chi sono i guardiani che danno la caccia ai fantasmi che spargono malware senza sosta e latitano nella rete. Una sorta di cyberangels di cui ancora troppo pochi conoscono il lavoro. Ne abbiamo intervistati due, provando a capire, e a far capire al normale utente, come agiscono e lavorano. Ovviamente di controparte non poteva mancare un’intervista a chi svolge il ruolo di ricercato, Anonymous. Che, se non considerato cybercriminale a tutti gli effetti, ha comunque la colpa di penetrare e abbattere siti governativi e di grandi aziende.
CACCIATORI DI BOTNET
Un tempo erano definiti Botnet Hunters, cacciatori di botnet o malware, ora il ruolo di questa caccia si è allargato, dato lo sviluppo dell’informatica. “Il termine “cacciatore di botnet” è un po’ anacronistico. Le cose ora sono diverse da dieci anni fa – ci ha spiegato in un’intervista via mail Andre Di Mino (@sempersecurus), noto analista forense, che un tempo dirigeva Shadowserver Foundation di cui era il co-founder e che ora sta su DeepEnd Reserch, organizzazione che traccia malware, monitorizza botnet ed è attenta alla criminalità informatica, mentre di giorno lavora nel team di sicurezza della George Washington University – . Ora ci sono molte organizzazioni commerciali, senza scopo di lucro, o di volontari alla sicurezza che essenzialmente svolgono il “botnet-hunt”, direttamente o indirettamente.
In questo senso, chiunque usi un computer su Internet e non vuole essere una vittima di un crimine digitale ha bisogno di un cacciatore di botnet”. Spesso sono volontari dediti alla sicurezza di Internet che spendono il loro analizzando il traffico dati, o professionisti del settore. Entrambi possono essere contattati da compagnie di software o polizie, ma sul tema “non posso parlare su ciò che i Governi fanno nei loro programmi di sicurezza”, ci ha risposto Andre DiMino .
Il BotnetHunting è essenzialmente la rilevazione, l’analisi e il monitoraggio delle reti criminali utilizzate per effettuare il cybercrime
“Il BotnetHunting – ha sottolineato DiMino – è essenzialmente la rilevazione, l’analisi e il monitoraggio delle reti criminali utilizzate per effettuare il cybercrime. Queste reti sono in genere rilevate tramite la raccolta e l’analisi del malware.
Ci sono vari strumenti e tecniche che i ricercatori di malware / botnet utilizzano per scoprirle. Generalmente si analizza solo il traffico generato dal malware all’interno del nostro ambiente di laboratorio. Nessun altro traffico viene sniffato”. Proprio come in un laboratorio di ricerca in cui si isola il virus, in questo caso informatico, e lo si analizza per trovarne la cura. Statisticamente al giorno vengono prodotti circa 5mila nuovi virus, che vengono modificati N volte per poi sfruttare vecchie vulnerabilità mai fissate dalle stesse aziende. In questo dato esorbitante vanno contati anche i malware che mirano ai cellulari, come quelli fatti appositamente per i sistemi Android. C’è chi ha parlato, in passato, anche di un milione di nuovi virus creati ogni giorno.
MALWARE E CYBERWAR
I malware sono delle armi digitali, mezzi con cui si combatte la cyberwar, la guerra virtuale che sta dilagando negli ultimi tempi. Usati da cybercriminali e da Governi, infestano internet. Chiunque si è trovato nella posta email di spam dietro le quali si cela una pagina phishing (che se aperta ruba i dati dell’utente), ad esempio, e chiunque può avere all’interno della propria macchina uno spyware inviatogli direttamente dalle Intelligence che nell’era della sorveglianza di massa tengono d’occhio giornalisti, attivisti o chiunque sia nel mirino dell’antiterrorismo.
Per i normali utenti, quelli che navigano su internet per comperare online, leggere i quotidiani, o accedere ai social network, la Polizia Postale stessa ha ingaggiato una vasta campagna di informazione sui rischi dei nuovi virus che circolano, i peggiori dei quali sono i ransomware, da ransom che in inglese significa riscatto: questi malware criptano i file della macchina e il cybercriminale chiede poi un riscatto per decriptare.
I Botnet Tracker, o Malware Tracker, svolgono un lavoro fondamentale nello scenario sempre più caotico della sicurezza. Gli analisti del traffico di malware, visti gli ultimi allarmanti dati sulla crescita del cybercrime, dicono che “è anche fondamentale avere una forte comunità tra i ricercatori di sicurezza. La condivisione di analisi e di informazioni chiave tra i ricercatori di sicurezza è fondamentale per mantenere la consapevolezza e la comprensione dell’universo di minacce”, ci ha spiegato Andre DiMino.
Le botnet vengono individuate per lo più tramite l’analisi di malware e spam
In particolare, le botnet vengono individuate “per lo più tramite l’analisi di malware e spam – ha continuato DiMino -. Malware e spam possono essere raccolti tramite una varietà di metodi tra cui honeypot e spamtraps (siti trappola)”. Chiudere una botnet non è una decisione così semplice, tra l’altro, dato che “alcune sono sotto inchiesta dalle forze dell’ordine e la chiusura non è desiderata – ha sottolineato DiMino – In altri casi, lavoriamo con i fornitori di hosting, registrazione dei domini/registri, e altri fornitori di servizi, collaborando per effettuare una chiusura”.
MALWARE IN VENDITA NEL DEEPWEB
Facendo un giro nel deepweb abbiamo visto che sono molteplici i posti in cui gli hacker si incontrano e mettono in vendita i malware. E’ quindi possibile che in questi anni anche il più scarso tra gli hacker può dire di possedere una botnet dato che queste sono reperibili in siti e forum come 0Day e Darknet Forum nel web profondo a cui si accede solo tramite rete Tor, e nel web di superficie, come Hackforumed Elite Hack. Coloro che le costruiscono, infettando computer di persone ignare, le vendono da centinaia a migliaia di dollari. Posti inquietanti, in cui ci si deve aggirare muniti di antivirus aggiornati e con firewall integrato, dato che anche la sola apertura delle finestre potrebbe comportare l’essere infettati. Inoltre, chi vende questo tipo di malware è più furbo del Gatto e la Volpe, e i giovani hacker che cercano di comprare queste botnet e che si sentono forti e spavaldi è quasi ovvio vengano truffati.
BOTNET E ZOMBIE
Il DDoS (Distribuited denial of device) è la negazione del servizio. Vengono inviati pacchetti di richieste di accesso a un sito internet che, sovraccarico, va offline. Viene eseguito mediante una botnet, la quale è comandata da un cervello centrale detto Command and Control (C&C) che è un bot, ovvero uno script informatico che lavora attraverso determinati comandi. Questi comandi, dati dall’hacker detto botmaster, avviano gli zombie, computer infettati tramite virus che li comanda dal cervello principale. Da lì partono i così detti pacchetti dati diretti ad un determinato obiettivo, in gergo target.
Sotto le migliaia di richieste di accesso il sito collassa perché il tempo di connessione diventa troppo lungo.
Quando il DdoS è particolarmente pesante il sito sovraccarico va in null route e viene messo offline direttamente dagli amministratori, procurando anche migliaia di danni all’amministrazione. Il tipo di Botnet che usufruisce del C&C, è detto Centralizzato.
Botnet centralizzata con C&C
“Per smantellare una botnet di solito c’è bisogno di: un AvVendors (azienda specializzata nella produzione di software antivirus), un Cert (Computer Emergency Response Team), Polizia, la collaborazione dei vari hosting, di uno o più governi e interessi economici. Dridex (definita la Botnet più grande del mondo e che a volte, dopo essersi infettati, ti infettano anche con il ransomware Locky, ndr) è stata smantellata perché colpiva gli utenti delle banche, ma proprio per questo motivo è già operativa nuovamente”, ha incalzato JamesWT (@JAMESWT_MHT), ceo di malwarehunterteam.com e che al modo di molti criminal-fighter preferisce mantenere l’anonimato onde evitare “di trovarsi pacchi anomali dentro casa”, come scherza lui stesso.
BOTNET DECENTRALIZZATE
Con le botnet Peer-to-Peer nate nel 2005 si è voluto creare una rete decentrata. “L’idea di P2P è che tutti i bot collegano e comunicano fra di loro al fine di eliminare la necessità di un server centralizzato”, spiega JamesWT . Una delle botnet della generazione peer-to-peer (P2P) fu nominata THOR dal suo progettatore TheGrimReap3r e fu venduta nell’underground di internet per 8000 $ nel 2012. Ultima delle botnet P2P è stata Zeus, codata in linguaggio C e nata apposta per rubare numeri di carte di credito installando nel pc Windows un ransomware cryptolocker. La botnet fu chiusa, ma poi modificata e tornata in circolazione. L’autore è ancora sconosciuto, ma, come ci riferiscono alcune fonti, alcuni sospettano sia il cyberterrorista russo più ricercato dall’FBI. Per molte fonti le più grandi e pericolose sono quelle degli Spyware governativi, che appunto spiano silenziosamente dall’interno della macchina in remoto. Ma questo non è dato saperlo ufficialmente.
“Per il DdoS praticamente un singolo trojan infetta più macchine e funziona senza C&C e quindi ovviamente è difficile se non impossibile bloccarlo perché fa capo a un singolo computer privato. Una rete del genere diciamo che è uno zombie senza controllo, non essendo C&C”.
Praticamente il trojan stesso ha in sé tutti i comandi integrati.
“Se i BOT comunicano l’uno con l’altro, poi il botmaster ha bisogno di assicurarsi che solo lui può comandarli e ciò di solito avviene utilizzando la firma digitale. La firma viene eseguita avvalendosi della crittografia asimmetrica, un particolare tipo di crittografia che ha richiesto due chiavi (pubblica e privata). Se una chiave viene utilizzata per crittografare un messaggio, esso può essere decifrato solo con l’altra chiave. Se il botmaster mantiene una chiave segreta (chiave privata) e incorpora l’altra chiave (pubblica) nel bot, si può usare la sua chiave per cifrare i comandi e poi i bot sono in grado di decifrare utilizzando la chiave pubblica: senza la chiave privata del botmaster, nessuno può cifrare i comand” – spiega JamesSW sul suo sito MalwareTech e durante l’intervista – “Sicuramente le botnet P2P sono nate come soluzione per evitare domini e server che sono facilmente bloccabili o tramite ‘blacklist’ nel firewall – ci ha spiegato JamesWT-, o con l’aiuto dei vari hosting dopo aver segnalato gli abusi. Di fatto creano una rete decentralizzata che però fa sempre capo a un server o nodi/nodo quindi in questo caso si tenta di individuarli e bloccarli tramite blacklist (lista nera di siti)”.
EMAIL SPAM
Oltre allo sporco lavoro del dossare siti, le botnet compiono soprattutto azioni illegali di spam. Questo metodo è usato, ad esempio, per inviare email con allegati Pdf o Word che, una volta aperti, infettano la macchina con dei trojan o ransomware detti anche encryptor, che sfruttano la crittografia che cifra i file interni del computer. O ancora i cryptolocker, che riescono a leggere qualsiasi cosa venga scritta sulla tastiera del computer e individuare quindi anche le password dei conti correnti online. Oppure per prelevare i dati dell’utente attraverso il phishing.
Le botnet arrivano ad avere anche milioni di zombie: “Ho fatto parte di diverse gruppi di lavoro sulle botnet – ha spiegato DiMino -, in particolare il gruppo di lavoro Conficker. Al suo apice, alla fine del 2008, inizio 2009, Conficker era noto per avere infetti diversi milioni di computer”. Tale virus ha lasciato un segno nella storia dei cyber attacchi, scoperto nel 2008 ha infettato milioni di utenti Windows.
L’affitto di una botnet dedita all’invio di messaggi spam tramite posta elettronica, con velocità di invio pari a circa 1.000 email al minuto (con 100 macchine-zombie collegate online), costa sui 2.000 dollari al mese
“L’affitto di una botnet dedita all’invio di messaggi spam tramite posta elettronica – spiega il rapporto KasperSky ‘Il business delle botnet: un fiorente sistema economico‘ – , con velocità di invio pari a circa 1.000 email al minuto (con 100 macchine-zombie collegate online) costa sui 2.000 dollari al mese. Il valore di una botnet pronta all’uso, così come il canone di affitto di una rete-zombie, dipende ovviamente dalla quantità di computer infetti che ne fanno parte. Le botnet di piccole dimensioni, formate solo da alcune centinaia di bot, costano dai 200 $ ai 700 $. Le botnet molto estese si situano invece su valori nettamente superiori. La rete Shadow, creata da un diciannovenne hacker olandese e formata da più di 100.000 computer situati in ogni angolo del mondo, è stata venduta per 25.000 euro”.
“Per individuare il traffico oltre ai classici metodi si può implementare una macchina di test e autoinfettarsi – ha spiegato JamesWT -. Per quando riguarda sniffare i pacchetti, anche se il termine si presta a molte interpretazioni nel caso dei malware, ci sono vari metodi: in modo semplicistico si può passare dalla macchina reale o virtuale di test a servizi già pronti come reverse.it o malwr.com e altri servizi come urlquery.net” e infine utilizzare software dedicati e poi analizzare i report (Pcap).
Le botnet è possibile costruirsele da soli, creando ad esempio un virus o sfruttandone uno già esistente e infettare poi i computer di utenti ignari tramite invio di messaggi spam, phishing, spamdexing (per acquisire illecitamente visibilità nei motori di ricerca), click fraud (frode sui click), download di programmi adware e malware. Oppure sfruttando siti internet chiamati IpGrabber, che rubano gli IP degli user e li sfruttano per attacchi informatici. Tuttavia le botnet possono anche essere affittate. Su molti forum di hacking è possibile trovare annunci di questo tipo: “Gli importi da pagare per l’effettuazione dei suddetti attacchi possono oscillare da 80 $ sino ad alcune migliaia di dollari per 24 ore di azione ininterrotta da parte della botnet preposta allo svolgimento dell’attacco DDoS”, scrive Yuri Namestnikov sul Report ‘Il Business delle botnet’ di KasperSky. Ultima chance comprarsela. Esistono anche i webhive, siti a cui un utente si connette e che sfruttano la banda della connessione per lanciare pacchetti. Questi ultimi sono assai diffusi anche sui social network, vengono messi come link ai post e i normali utenti li aprono senza sapere si cosa si tratta, trovandosi ad essere ‘dosser’ inconsapevolmente, come durante OpIsrael 2014 di AnonGhost, in cui gli hacktivisti ‘twittavano’ link a webhive all’insaputa dei follower.
Un’accortezza sovente utilizzata è quella di indirizzare il traffico tramite protocollo HTTPS cosicché l’analisi del traffico risulti più complessa
I protocolli, o metodi usati per far lavorare Botnet sono molteplici: le reti IRC; l’http, in cui il C&C si trova su una Virtual Machine. Come spiega il sito VoidSec “il vantaggio di questa struttura è che il traffico http difficilmente viene rilevato come sospetto. Un’accortezza sovente utilizzata è quella di indirizzare il traffico tramite protocollo HTTPS cosicché l’analisi del traffico risulti più complessa.”. Inoltre esistono anche le Botnet che sfruttano social network, specialmente Twitter; le Istant Message Botnet, che comunicato tramite messaggistica; le Botnet Tor; le Botnet che utilizzano servizi web. Le ultime quattro sono tutte Botnet P2P. I software utilizzati per costruirle le Botnet sono: Botnet Trojan Shark; Poison Ivy; PlugBot; Illusion Bot; Netbot attacker.
ANONYMOUS TRA LE VITTIME
Se parliamo di botnet e DDoS non possiamo omettere Anonymous che durante Operation Payback nel 2011 ha registrato uno dei più larghi attacchi Denial of Device di sempre. Difatti è noto che l’armacon cui si sono imposti i cyberattivisti è il DdoS. Tuttavia mentre alcune botnet sono state chiuse, come ci confidarono qualche anno fa gli Anon italiani durante OperationGreenRights, c’è chi afferma di avere botnet che non possono essere trovate. Molte delle botnet usate dagli anon sono controllate attraverso canali IRC (Internet Relay Chat), i quali si trovano su server nascosti e attraverso i quali i cyberattivisti danno input agli zombie comandati da remoto. Migliaia di computer si mettono in funzione con una sola riga di codice. “Le IRC – ha spiegato JamesWT – non lavorano in P2P classico perché il P2P connette tutti gli host automaticamente. Le centinaia di reti IRC nel mondo collegano i vari host (computer) in parallelo e disgiunto dagli altri. Tuttavia un client (programma) connesso in una rete può comunicare solo con altri client sulla stessa rete. Ogni rete è composta da uno o più server IRC. Un client IRC è un programma che si connette a un determinato server IRC per avere le comunicazioni relè server e da altri client sulla stessa rete, ma non necessariamente lo stesso server. Poi all’interno di una IRC puoi creare un BOT che esegua delle operazioni automatizzate a cui si danno comandi”.
Esempio di una botnet IRC
Parlando con uno degli anon che prese parte anche all’operazione Payback nel 2011, ci ha spiegato che la sua botnet ha più di 50mila zombie infettati ed è “impossibile da individuare perché strutturata in maniera differente”. Della serie catch me if you can: “Non si comporta in modo prevedibile, ma cambia il suo Command&Controll in modo dinamico e può anche utilizzare protocolli diversi. La capacità di progettare e costruire questi sistemi è la ragione principale per cui i governi mi cercano”. Difatti sembra essere uno dei classici fuggitivi di internet, quelli per cui il preservare l’anonimato ne vale la propria vita. “Ho programmato distributed computing systems (botnets) per molto tempo e che vendevo non come botnet di per sé, ma come business automation software, e l’esperienza porta innovazione”, ha continuato durante l’intervista fatta nelle chat IRC. Ingegneri informatici stessi, quindi, che sfruttano le proprie conoscenze – in questo caso nell’idea attivista di cambiare il mondo. Per spiegarne meglio il funzionamento l’Anonymous è ricorso a un simbolismo: “Ogni bot agisce come un tubo dell’acqua e c’è una grande coda di lavoro da fare e ciascun tubo muove l’acqua, ma ogni goccia d’acqua è diversa, quindi il sistema si equilibra e sposta la quantità massima di acqua che fisicamente può”. Nonostante le domande l’Anonimo ha voluto mantenere riserbo sul tipo di metodo che la botnet sfrutta. Ma per JamesWT anche questo tipo di botnet è rintracciabile, “basta farsi infettare e poi analizzare tutto il traffico”, ribadisce.
Chi l’avrà vinta tra guardia e ladro non è dato saperlo.
I DATI DEGLI ATTACCHI INFORMATICI
Per l’analisi effettuata da Akamai sullo stato della rete gli attacchi DDoS sono cresciuti del 125% nel primo trimestre 2016 rispetto il 2015. I C&C degli attacchi perpetrati in Italia e analizzati da Fastweb si trovano per la maggior parte negli Stati Uniti. Clusit, nel suo rapporto 2016 scrive: “A prova di quanto detto si evince che circa il 40% dei malware che abbiamo rilevato quest’anno trattasi di una variante del vecchio Conficker, benché ormai risalente al 2008 continua ad infestare, nell’arco di un anno, circa 750.000 host. Un gradino più in basso troviamo ZeroAccess ed il malware Gameover Zeus, le cui varianti hanno generato le più grandi infestazioni degli ultimi anni. Se il 2015 vede il gradino più alto del podio dei malware più presenti sulla rete Fastweb dominio incontrastato di Conficker, sono due le botnet che invece si spartiscono la maggioranza degli host: la ZeroAccess e la GameOver Zeus, nelle sue varianti dga, proxy e peer”. Per i Content Delivery Network situati in USA, nell’ultimo trimestre 2016 19 attacchi hanno generato traffico superiore ai 100 gigabit al secondo, di cui uno da 289 gigabit al secondo. Attacchi DDoS quindi sempre più potenti ed effettuati con intento criminale e non più come attivismo online. Difatti il cybercrime cresce e secondo il rapporto Clusit del primo trimestre 2016 il 98% degli attacchi informatici è dovuto ad intenti criminali e solo il 21% ad hacktivismo.
Entro il 2020 ci sarà il 25% di possibilità per ogni azienda, di subire un attacco
Gli attacchi DDoS hanno colpito 79 Paesi ma il 91,6% delle vittime è localizzato in 10 Stati: Cina, Usa e Corea del Sud occupano le prime tre posizioni sia come principali fonti da cui partono gli attacchi più frequenti sia come obiettivo degli stessi. Nel primo trimestre 2015, dalle analisi di Kaspersky lab si è verificato l’attacco DDoS più duraturo di sempre: 320 ore no stop. Cina, Corea del Sud e Stati Uniti sono i paesi più colpiti. Per Akamai l’escalation di attacchi DdoS genererà, entro il 2020, un traffico pari a 1.5 Tbps (Terabyte per secondo) e che ci sarà il 25% di possibilità per ogni azienda, di subire un attacco. Inoltre la stessa azienda avrà il 36% di possibilità di essere presa nuovamente di mira nel giro di un anno. I motivi di un attacco DdoS sono molteplici: vanno dall’estorsione, all’infiltrazione, per cui si rubano dati, all’hacktivism, fino alla competizione aziendale.
JONE PIERANTONIO
