Il 6 agosto un’operazione del Defense Criminal Investigative Service statunitense ha smantellato Rapper Bot, una botnet composta da migliaia di dispositivi infetti usati per attacchi DDoS in tutto il mondo almeno dal 2021.
Altri operatori criminali stanno però già ricolonizzando i dispositivi liberati dalla rete, in un contesto di crescente minaccia per i siti internet, ma anche per la connettività di interi Paesi.
Indice degli argomenti
Botnet: dopo lo smantellamento, la ricolonizzazione
Ethan Foltz, ventiduenne dell’Oregon, è stato identificato dagli investigatori del Distretto dell’Alaska come il presunto amministratore della rete conosciuta anche come “Eleven Eleven Botnet” e “CowBot”, che comprometteva dispositivi come videoregistratori digitali (DVR) o router WiFi su larga scala, infettandoli con malware specializzati e noleggiandoli a clienti selezionati.
Non si tratta dell’unico caso di vasta rete di bot registrato nell’ultimo anno. A luglio, Google ha annunciato azioni legali contro gli operatori della BadBox 2.0: una rete da milioni di dispositivi Android non certificati come smart TV, tablet e proiettori usata per frode pubblicitaria e proxy residenziali.
Pur non essendo nata per fare DDoS, una botnet di queste dimensioni, ha avvertito Google, potrebbe essere riconvertita a fini più distruttivi, inclusi ransomware e attacchi di saturazione.
Quella delle botnet orientate alla frode che deviano verso l’offensiva di rete è una tendenza registrata già con la botnet ResHydra, costituita presumibilmente da decine di milioni di device: nata per attività fraudolente, nell’ultimo anno avrebbe iniziato a scagliare attacchi online.
Il caso Cloudflare
A inizio settembre, l’azienda di infrastruttura Internet Cloudflare ha dichiarato di aver mitigato un attacco da 11,5 terabit al secondo (11,5 trillion bit/s) che in poco più di mezzo minuto ha stabilito un record mondiale per intensità.
Cloudflare ha registrato nelle stesse settimane centinaia di attacchi iper-volumetrici, interpretati come colpi dimostrativi per pubblicizzare la forza della botnet Aisuru che ha preso il controllo di oltre un quarto dei device liberati da Rapper Bot, e testarne la capacità di saturare dorsali e peering.
La capacità delle botnet di degradare la connettività
Secondo Craig Labovitz, CTO della divisione Nokia Deepfield, il risvolto più allarmante di questa nuova generazione di botnet è la loro capacità potenziale di degradare la connettività su vasta scala, grazie a CPU più veloci nei device di consumo, connessioni domestiche a gigabit e tecniche di riflessione/amplificazione.
Il ricercatore dei Black Lotus Labs di Lumen, Chris Formosa, ha dichiarato che con una massa d’urto simile a quelle delle botnet citate sarebbe addirittura possibile fare danni estremi a un Paese.
La causa principale dell’entità della minaccia in questione è in primo luogo la scala: quando centinaia di migliaia di device attaccano all’unisono, anche difese eccellenti faticano.
Il takedown guidato dal DCIS ha liberato fino a 95.000 apparati dalla rete Rapper Bot ha però innescato una gara per riprendere il controllo degli stessi dispositivi il più in fretta possibile: rimuovere un malware da un router, infatti, non significa metterlo in sicurezza, se le credenziali restano deboli o la superficie d’attacco non viene ridotta.
Gli operatori di rete avvertono inoltre che gli attacchi recenti potrebbero rappresentare solo una frazione della banda effettivamente disponibile ai botmaster.
Raffiche brevissime a banda estrema sono sufficienti a causare perdite di sessione e failover, rendono più difficile l’attribuzione dell’attacco e permettono di misurare tempo e costo di reazione del bersaglio.
Il quadro che emerge
In parallelo, report industriali come quelli di Nokia, Enisa e NetScout, descrivono un panorama nel quale i Tbps stanno diventando la normalità per alcuni settori e gli oggetti “smart” sono funzionali all’ecosistema degli attacchi DDoS come bot parlanti, cioè dispositivi infettati che generano direttamente il traffico dell’attacco, oppure come amplificatori passivi che espongono servizi riflettenti, aumentando enormemente il volume che travolge link/peering.
Gli attacchi iper-volumetrici
Dal quadro che emerge risulta chiaro che di fronte ad attacchi iper-volumetrici non è sufficiente proteggere il singolo data center, ma diventa necessario spostare la frontiera di difesa a monte, nei punti in cui le reti si scambiano traffico, peering (IXP/PNI) e transit (fornitori upstream), dove, se i link si saturano, il problema si propaga ad altri servizi e reti, causando una congestione a catena.
Il caso RapperBot di smantellamento botnet e ricolonizzazione
Il caso RapperBot dimostra anche che operazioni utili a disattivare il funzionamento di un servizio d’attacco non sostituiscono la bonifica capillare dei dispositivi sul campo.
Quando l’agente malevolo viene solo rimosso senza patch, reset credenziali o hardening, il tempo di reinfezione si misura in ore in un mercato vivace come quello dei booter/stresser: ogni seizure (27 domini sono stati chiusi a fine 2024 ed altri 9 a maggio 2025) o ondata di arresti rimane incapace di diminuire la domanda e si limita a spingere i clienti verso nuove vetrine e nuove botnet.
La sfida è per ISP regionali
Se i big cloud possono assorbire gran parte degli attacchi grazie a scrubbing, Anycast, blackholing controllato, la sfida vera è per ISP regionali, CDN minori e organizzazioni che dipendono da connettività limitata.
I takedown funzionano sul piano di riduzione dei danni e aumento dei costi per i criminali ma non chiudono le falle strutturali della rete.
Proprio per questo è necessario alzare l’asticella della difesa by default sugli oggetti connessi, prevenire lo spoofing degli indirizzi IP alla sorgente e automatizzare la difesa a monte.
Le strategie nazionali contro il rischio botnet e ricolonizzazione
In Europa, il Cyber Resilience Act già in vigore rende obbligatori requisiti di sicurezza lungo l’intero ciclo di vita dei “prodotti con elementi digitali”: se attuato, ridurrà il serbatoio di device arruolabili nelle botnet.
In parallelo, il profilo minimo ETSI EN 303 645 per l’IoT consumer è ormai un riferimento industriale e base per schemi di certificazione: più vendor lo adotteranno, meno dispositivi zombie saranno disponibili.
Le strategie nazionali stanno incorporando queste leve in modo strutturale, segno che la difesa non è più solo compito del singolo operatore, ma un gioco di squadra tra regolatori, telecomunicazioni, cloud e comunità di sicurezza.
