La creazione delle botnet e il loro utilizzo ha creato negli ultimi anni un modello di business applicato dai cyber criminali per creare soldi: la underground economy.
Una botnet, lo ricordiamo, è essenzialmente una rete di computer, smartphone o device intelligenti che sono controllati da un attaccante non autorizzato. Il più delle volte questi computer sono compromessi sfruttando delle vulnerabilità software o del sistema operativo a cui l’attaccante ha avuto accesso. Sulle macchine compromesse vengono installate applicazioni maligne che permettono il controllo remoto della macchina stessa e l’aggregazione di tutte le macchine compromesse in vere e proprie reti di computer.
Una volta creata una botnet, l’attaccante può sfruttare queste reti per fornire diversi servizi maligni come: Distributed Denial-of-Service, spamming campaigns, campagne di phishing (come nel caso delle social botnet), click frauds e bank frauds.
Indice degli argomenti
Underground economy: la catena produttiva delle botnet
Questo modello di underground economy è basato su sei blocchi principali.
I sei blocchi logici in cui è possibile schematizzare il modello di underground economy delle botnet.
Il primo blocco nella catena produttiva delle botnet è quello di ricerca e sviluppo. Gli attori principali in questa fase sono i ricercatori e gli sviluppatori che sono coinvolti nella continua ricerca di bug nel software tramite tecniche automatiche. Il finanziamento è per lo più legale ed è connesso a fondi di ricerca internazionali o governativi che vengono elargiti per i centri di ricerca e laboratori universitari.
Il terzo e quarto blocco, riguardante la parte di command e control e PPI (Pay Per Install), è legato alla distribuzione del malware e alla compromissione di nuove macchine che verranno assemblate per creare una botnet.
In particolare, il sistema PPI rappresenta il core del modello di business dei sistemi cyber criminali che permette la compravendita di botnet. Molti degli attori che operano attorno a questo modello di business non necessitano di skill tecnici per costruire la propria botnet, ma soltanto soldi per comprare l’infrastruttura.
Il quinto e sesto stage è considerato definitivamente illegale in termini di finanziamento e coinvolge diversi attori del cybercrime quali i proprietari delle botnet e gli attaccanti che effettuano gli attacchi veri e propri.
Pay Per Install: il cuore della underground economy
Come è stato descritto precedentemente, il core dell’intero modello di business è rappresentato dal sistema di Pay Per Install.
Lo schema di funzionamento del Pay Per Install, il core business della underground economy.
Gli attori principali di tale sistema sono divisi in tre categorie:
- i client, che sono per lo più sviluppatori di malware;
- i PPI provider ai quali si rivolgono i client per richiedere di installare il proprio software su macchine compromesse, specificando su quante macchine vogliono l’installazione e l’ubicazione geografica delle stesse. La richiesta può mantenere l’esclusiva, e questo permette ad un solo malware di controllare l’intera macchina compromessa;
- gli affiliati ai quali il PPI provider si affida per soddisfare le richieste dei propri clienti. Sono persone specializzate nel compromettere le macchina tramite vulnerabilità software. Ogni macchina compromessa in una determinata regione geografica presenta un costo specifico.
Per la richiesta di compromissione di una macchina il PPI provider invia un’applicazione software chiamata downloader agli affiliati, il cui compito è quella di installarla sulle macchine richieste. Una volta installato il downloader, il PPI provider potrà distribuire il malware automaticamente come richiesto dai suoi clienti ed incassare la cifra pattuita inizialmente.
Questo sistema di distribuzione malware (PPI) è stato scoperto da ricercatori di sicurezza che sono riusciti ad infiltrarsi nel sistema e sono venuti in possesso, fingendosi degli affiliati, di molti nuovi malware. Questa infiltrazione ha mostrato come questo sistema abbia un ruolo fondamentale nella distribuzione degli stessi.
Botnet: i guadagni assicurati dalla underground economy
Le botnet devono essere mantenute. Per mantenere la loro efficacia devono risultare invisibili ai vari sistemi di detection nel tempo e nello stesso momento fornire servizi redditizi. Il costo di mantenimento di una botnet è quantificabile attraverso due attività principali: manutenibilità e re-infezione nel caso della perdita della macchina compromessa.
Per la prima attività, lo sviluppatore applica dei sistemi di offuscamento del codice (ad esempio, tecniche di packing) già a disposizione a livello commerciale con costo minimo.
L’attività di re-infezione viene applicata quando il sistema di difesa (ad esempio gli antivirus o gli intrusion detection tool installati sui computer infetti) è in grado di rilevare automaticamente il malware. In questo caso, lo sviluppatore deve creare un nuovo malware e re-infettare le macchine, con un impatto sui costi molto maggiore.
Da un’analisi effettuata sul malware Zeus, i costi per il mantenimento di una botnet sono di circa 62mila dollari l’anno per sviluppatore. Un’altra analisi fatta sulla botnet Mirai mostra invece come le botnet che sfruttano gli IoT device siano più facili da mantenere in termini di costi in quanto la re-infezione è quasi immediata e non necessita di tecniche particolari. Ciò è dovuto al fatto che i device IoT non implementano sofisticati meccanismi di detection per via delle loro scarse risorse di calcolo.
Naturalmente il costo del mantenimento deve essere minore del costo del guadagno della botnet. Duranti recenti analisi si è calcolato il guadagno portato da una botnet a seconda del servizio erogato.
In particolare queste analisi mostrano che una botnet composta da 30.000 nodi che applica un denial of service distribuito, può arrivare a guadagnare 26.000 dollari al mese. Mentre l’utilizzo di una botnet con 10.000 nodi che fa Spam Advertising può` arrivare fino a 300.000 dollari al mese, fino ad arrivare a quasi 20 milioni di profitto per mese per una botnet che implementa Click Fraud.
