Le autorità statunitensi nei giorni scorsi hanno condotto un’operazione di portata straordinaria nel panorama della sicurezza informatica globale, smantellando simultaneamente quattro delle botnet più pericolose mai documentate.
Il Dipartimento di Giustizia americano, in coordinamento con la Defense Criminal Investigative Service — l’agenzia anticrime informatico del Dipartimento della Difesa — ha neutralizzato le infrastrutture di comando e controllo che alimentavano le botnet note come Aisuru, Kimwolf, JackSkid e Mossad, sgominando un sistema criminale che aveva compromesso complessivamente oltre tre milioni di dispositivi in tutto il mondo, molti dei quali all’interno di reti domestiche di utenti ignari.
Indice degli argomenti
Il modello di business delle botnet DDoS
Si tratta di un risultato rilevante nel contrasto alle minacce DDoS, capaci di saturare le infrastrutture digitali con volumi di traffico estremamente elevati.
Le quattro botnet non erano semplici strumenti offensivi nelle mani di un singolo gruppo criminale: operavano secondo un modello di business strutturato, con i loro gestori che affittavano l’accesso ai dispositivi compromessi ad altri attori malevoli, in quello che nel gergo del settore si definisce “booter service“, un mercato dove chiunque sia disposto a pagare può acquistare la capacità distruttiva di un’intera rete di macchine infette.
Aisuru e Kimwolf al centro dell’operazione
Il cuore dell’operazione riguarda in particolare Aisuru e Kimwolf, le due botnet che negli ultimi mesi avevano fatto registrare alcune delle prestazioni offensive più rilevanti. Aisuru aveva infettato una varietà eterogenea di dispositivi: DVR, apparati di rete, webcam e altri oggetti connessi tipicamente classificati come Internet of Things. Kimwolf, botnet distinta ma correlata ad Aisuru, si era invece specializzata nei dispositivi Android, colpendo in modo mirato smart TV e set-top box.
La convergenza operativa delle due reti aveva prodotto, nel novembre scorso, l’attacco DDoS più potente mai registrato nella storia di Internet: secondo i dati pubblicati da Cloudflare, l’azienda che ha dovuto assorbirlo per conto di un proprio cliente rimasto anonimo, il picco ha raggiunto 31,4 terabit al secondo, un valore quasi triplo rispetto al precedente record mondiale. L’attacco è durato appena 35 secondi, ma la sua intensità ha reso evidente quanto il panorama delle minacce si sia evoluto in termini di scala e sofisticazione.
Per rendere comprensibile la portata di quella cifra, gli analisti di Cloudflare hanno elaborato un paragone di immediata efficacia: sarebbe come se le intere popolazioni di Regno Unito, Germania e Spagna digitassero simultaneamente un indirizzo web e premessero il tasto invio nello stesso istante.
Una massa di richieste talmente elevata da poter mettere in difficoltà la maggior parte delle soluzioni di protezione DDoS basate su cloud legacy e compromettere la connettività di interi paesi. Le stesse botnet erano già state impiegate in attacchi contro servizi di gaming come Minecraft e contro il giornalista di sicurezza informatica Brian Krebs, noto per le sue inchieste approfondite sul mercato underground delle botnet e su Aisuru in particolare.
L’eredità di Mirai nelle botnet DDoS moderne
Dal punto di vista tecnico, tutte e quattro le botnet dismesse rappresentano varianti di Mirai, il malware per dispositivi IoT comparso per la prima volta nel 2016 che aveva già stabilito allora record difficilmente immaginabili, fino ad arrivare all’attacco contro il provider di servizi DNS Dyn che aveva reso irraggiungibili 175.000 siti web per buona parte degli Stati Uniti in un singolo evento.
Il codice sorgente di Mirai è diventato nel corso di un decennio la base di partenza per un’intera genealogia di botnet IoT, ciascuna con innovazioni tecniche che ne hanno ampliato le capacità e la superficie di attacco. Le quattro botnet neutralizzate nell’operazione di marzo avevano tutte sviluppato tecniche che consentivano di compromettere categorie di dispositivi che persino il Mirai originale non era riuscito a raggiungere.
La tecnica dei residential proxy nelle reti domestiche
Particolarmente significativa, sotto il profilo della novità tecnica, è la metodologia adottata da Kimwolf per compromettere dispositivi all’interno delle reti domestiche. Secondo Chad Seaman, principal security researcher presso Akamai, la botnet sfruttava dispositivi economici connessi a Internet configurati come “residential proxy“, ossia punti di accesso che — all’insaputa dei loro proprietari — consentivano agli operatori criminali di entrare nelle reti casalinghe e compromettere i dispositivi normalmente protetti dal router domestico. Una tecnica che ha rimesso in discussione ciò che consideravamo una rete domestica sicura. Seaman ha definito questa dinamica come qualcosa che “ha scosso dalle fondamenta ciò che consideravamo una rete domestica sicura“.
La stessa capacità di adattamento degli operatori delle botnet è emersa anche nella fase di contrasto condotta da ricercatori e forze dell’ordine. Per mesi, secondo quanto riferito da Seaman, si è svolto un continuo gioco del gatto e del topo tra chi cercava di disarticolare le infrastrutture malevole e chi le gestiva. In uno degli episodi più significativi di questa escalation tecnologica, gli operatori delle botnet avevano spostato i propri server DNS sulla blockchain Ethereum, sfruttando la natura decentralizzata e immutabile del registro distribuito per impedire il dirottamento dei server di comando e controllo attraverso i canali tradizionali.
Cooperazione internazionale e botnet DDoS transnazionali
L’operazione americana si è svolta in coordinamento con le autorità canadesi e tedesche, che secondo quanto dichiarato dal Dipartimento di Giustizia hanno preso di mira i soggetti che operavano le botnet. Al momento dell’annuncio non sono stati resi noti arresti, ma la collaborazione internazionale segnala un approccio sempre più strutturato al contrasto delle minacce cyber transnazionali.
Il nodo irrisolto dei dispositivi IoT insicuri
Resta tuttavia aperta la questione della sostenibilità di lungo periodo di questi interventi. Chi lavora nel settore da abbastanza anni da aver assistito a più generazioni di operatori DDoS non nasconde un cauto scetticismo sulla definitività dei risultati ottenuti. Seaman sintetizza la situazione con un’immagine efficace: “Il gioco del gatto e del topo continua. Se ne prendi uno, altri dieci scappano sotto il frigorifero. I gatti danno la priorità ai topi più grossi. Ma è una lunga partita.“
La storia di Mirai e delle sue innumerevoli derivazioni dimostra che smantellare un’infrastruttura criminale, per quanto imponente, raramente equivale a eliminare la minaccia alla radice: finché esisteranno milioni di dispositivi IoT insicuri, vulnerabili e privi di aggiornamenti, il terreno fertile per la prossima generazione di botnet rimarrà intatto. L’operazione di marzo rappresenta dunque un risultato rilevante nel contrasto alle botnet DDoS, ma anche un promemoria di quanto il perimetro difensivo del cyberspazio sia in continua ridefinizione.
