Una botnet (“rete di robot”) si riferisce a più computer infettati da software telecomandato che consente a un singolo hacker di eseguire programmi automatizzati sulla botnet alle spalle degli utenti. Il software o rootkit telecomandato viene installato clandestinamente in ogni computer, nascondendone la presenza e le tracce, rendendo difficile il rilevamento. Nel frattempo, l’hacker può utilizzare la botnet per molti scopi, tra cui la distribuzione di spam, la diffusione di cavalli di Troia, la perpetuazione di truffe di phishing o la raccolta di informazioni per furto di identità o frode.
Quando un computer compromesso cade preda di un rootkit, il computer viene definito “computer zombie”. Un hacker può installare rootkit su molti computer, essenzialmente costruendo una rete di “computer zombie” compromessi per eseguire bot o servizi segreti per l’hacker. Nella nicchia sotterranea degli operatori di botnet, c’è molta concorrenza per avere la botnet più grande o più potente. Non solo i singoli computer sono a rischio, ma lo sono anche le reti delle principali aziende private, del governo e persino dell’esercito.
Le botnet sono una delle principali fonti di criminalità su Internet. Alcuni operatori “affittano” le loro botnet a ore agli spammer. I provider di servizi Internet (ISP) non consentono lo spamming, ma quando migliaia o centinaia di migliaia di macchine inviano cinque o dieci pezzi di spam, lo spammer sfugge all’attenzione. Inoltre, lo spam inviato tramite una botnet risale ai computer compromessi, non allo spammer.
Le botnet vengono anche utilizzate per perpetuare le truffe di phishing inviando e-mail che sembrano provenire da società legittime come istituti finanziari, eBay o PayPal. L’e-mail in genere richiede informazioni personali sensibili, che le vittime spesso forniscono. Queste informazioni vanno direttamente all’operatore della botnet per guadagno personale.
Un operatore può anche utilizzare una botnet per lanciare un attacco Distributed Denial of Service (DDoS) contro un sito web. Ai computer della botnet viene inviato un comando che li invita a contattare contemporaneamente una pagina Web specifica. Ciò può causare il crash del server del sito Web a causa di un sovraccarico di richieste di traffico. Rimettere online il server e il sito Web può richiedere tempo e interrompere l’attività. Gli attacchi DDoS vengono spesso eseguiti contro aziende grandi e ben note e, secondo quanto riferito, sono costati milioni di dollari.
Click-fraud è l’ennesima truffa perpetrata da alcuni operatori di botnet. Gli inserzionisti di solito pagano una piccola commissione per ogni clic su un link pubblicizzato che appare su una pagina web. Un operatore di botnet con un contratto pubblicitario su un dominio personale può inviare un comando ai computer della rete compromessa per fare clic automaticamente su un collegamento pubblicitario ogni volta che viene aperto un browser. Considerando che una botnet può essere molto grande, la frode sui clic rappresenta un problema considerevole per gli inserzionisti.
Nell’ottobre 2005, la polizia olandese ha scoperto un’importante rete bot composta da 1.5 milioni di computer compromessi. La rete di zombie sarebbe stata gestita da tre ventenni. Le botnet si stanno diffondendo sempre più con gli Stati Uniti ritenuti il paese più colpito, che secondo alcune stime ospita circa il 26% di tutte le botnet. Ben il 25% di tutti i computer statunitensi potrebbe far parte di una botnet, anche se è difficile sapere se tali statistiche sono accurate.
Quel che è certo è che le botnet sono diffuse e in crescita, attirando anche adolescenti conosciuti come “script kiddies” che competono nella costruzione di botnet. Di conseguenza, gli utenti e gli amministratori esperti di computer stanno adottando misure per proteggersi dai rootkit che cedono l’accesso a hacker e script kiddy. Il software anti-rootkit può essere utilizzato per eseguire la scansione dei rootkit esistenti e possono essere prese anche altre precauzioni per ridurre al minimo i rischi di diventare parte di una botnet.