E’ di qualche
giorno fa la notizia, passata come al solito sotto silenzio, dello
smantellamento della botnet Andromeda a seguito di una operazione
cyber internazionale a guida EUROPOL.
La botnet era
operativa da diversi anni...
Ma iniziamo dal
principio: cos’è una botnet?
Per chi non ha
dimestichezza col mondo cyber, la terminologia può essere un
problema e si rischia di perdersi tra neologismi senza comprendere il
concetto, per cui cercherò di essere il più chiaro possibile
evitando l’uso di tecnicismi.
Una botnet è una
rete composta da computer infetti (utilizzo il termine computer in
modo estensivo, comprendendo anche dispositivi mobili ecc...).
L’agente
infettante è chiamato “bot”, e nel caso di Andromeda è un
“trojan”, mentre i computer infetti sono chiamati “zombi”.
Una botnet è governata da un “bot master” che ne impiega le
risorse per i suoi scopi, generalmente maligni.
La botnet Andromeda
è, o forse è meglio dire “era”, una rete conosciuta sin dal
2011. E’ anche conosciuta con i nomi di “Gamarue” e “Wauchos”.
Opera su dispositivi
dotati dei Sistemi Operativi Windows 2000, Windows Server 2003,
Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows
7 (32-bit, 64-bit), tutti appartenenti alla famiglia dei SO Microsoft
Windows.
Il trojan Andromeda
è capace di svolgere diverse operazioni: può verificare se è in
esecuzione, può scaricare ed eseguire files, funzionare come sistema
di comando da remoto e, se necessario, può disinstallarsi dalla
macchina infetta per cancellare le tracce della sua presenza, inoltre
è capace di connettersi ad un certo numero di siti malevoli. Una
volta installato nel sistema esegue delle copie di se stesso che
distribuisce in varie parti del Sistema Operativo per garantirsi la
sopravvivenza.
Secondo la Microsoft
la botnet si estendeva su 223 paesi diversi e poteva avvalersi di più
di 2 milioni di dispositivi infetti (ma sembra che i numeri siano
molto più grandi) attraverso i quali poteva compiere operazioni di
vario tipo oltre al più comune Distributed Denial of Service (DdoS).
Non è la prima
volta che una operazione cyber smantella una botnet ma generalmente
parte della botnet resta ancora attiva e potenzialmente può essere
utilizzata da chi è capace di prenderne possesso. Occorre inoltre
considerare il fatto che Andromeda e le sue varianti sono state in
vendita per anni e sono state impiegate per installare altre botnet,
come per esempio Neutrino, e poi disinstallate per eliminare traccia
del collegamento.
Lo smantellamento
della botnet Andromeda, ad opera di una operazione congiunta tra FBI,
EUROPOL e la polizia tedesca, è considerato un passo importante in
quanto si pensa che questa rete sia stata utilizzata a supporto di
un’altra botnet conosciuta come Avalanche, a sua volta santellata
alla fine del 2016. Per Andromeda è stato arrestato un bielorusso di
37 anni.
L’impiego di
strumenti on-line ci permette di verificare la diffusione del trojan
e delle sue varianti ed è possibile vedere che dopo lo
smantellamento di Andromeda continuano ad esistere delle varianti
attive in tutto il mondo.
Come è possibile
notare dalla mappa l’infezione si è diffusa principalmente in
Europa, India, Centro e Sud America.
Anche
l’Italia appare molto colpita e mi stupisce la mancanza di una
campagna di sensibilizzazione che dovrebbe comprendere un minimo di
informazioni sul come rilevare l’infezione e sulla sua rimozione.
Purtroppo in Italia non vi è ancora la giusta sensibilità verso
questo genere di problemi che si pensa siano appannaggio dei tecnici.
Niente di più
sbagliato.
Non sono i tecnici
che decidono l’approccio al mondo cyber, questo è compito dei
decisori che naturalmente devono essere in grado di capire qual’è
il problema e come comportarsi al loro livello, magari semplicemente
incrementando il numero degli esperti di sicurezza nella loro azienda
o riservando una maggiore fetta di risorse al settore cyber.
Ma cosa si può dire
dal punto di vista militare?
In generale una
botnet è una struttura complessa, ciò significa che occorre del
tempo per metterla in piedi e mantenerla. Inoltre occorre attenzione
e esperienza per mantenerla segreta, in attesa di impiegarla.
Una grande
organizzazione militare a livello statale può avere interesse a
creare una o più botnet da impiegare per operazioni cyber. Una
botnet è sicuramente utile nella fase di preparazione di un attacco
pianificato accuratamente di tipo APT (Advanced Persistent Threat).
In linea di massima
una botnet può essere utilizzata per la preparazione di un attacco
cyber complesso quale un DDoS o per la raccolta di informazioni.
Ma non sembra questo
il caso di Andromeda.
Ciò non toglie che
Andromeda potrebbe essere stata utilizzata anche per operazioni
militari ed è stato notato qualche collegamento con una cyber
operation di tipo APT chiamata “Operation Transparent Tribe”
condotta ai danni di personale militare e diplomatico indiano nel
2016.
Una cosa è certa,
distrutta una botnet, sicuramente ne verrà creata una nuova!
Alessandro Rugolo
Per approfondire:
Nessun commento:
Posta un commento