ROMA – Instagram, il social network dei gattini e degli influencer da palcoscenico, è diventato la bacheca degli annunci di chi affitta botnet a poco prezzo per attaccare servizi online. “Sei stato licenziato? Buttagli giù il sito”. “Vuoi guadagnare tanti soldi in poco tempo? Minacciali di infettargli i computer”. Ma come si fa? Affittando una rete di computer zombie per “sdraiare” il loro sito di ecommerce o per bucare la sicurezza aziendale e prendere il controllo di computer, stampanti, telecamere e impianto elettrico. I computer zombie sono quelli infettati e comandati a distanza a insaputa dei proprietari. I giovanissimi che pubblicano gli annunci sono facile preda e i criminali veri guadagnano grazie alla loro incoscienza. È questa la nuova formula del “crime as a service”, i servizi criminali su richiesta per attaccare il mondo digitale cui Instagram fa da veicolo pubblicitario. Sono giovani e in molti dei loro post c’è tutta la retorica anti-sistema che attinge a piene mani da Mr. Robot e da Black Mirror, le serie distopiche su hacker, informatica e dark web rese celebri da Netflix.

Come funzionano le botnet su Instagram

Prima era facile, ma non troppo, affittare una botnet da hacker russi o arabi. Bisognava immergersi nel dark web e pagare in bitcoin, adesso questi adolescenti fanno tutto alla luce del sole. Sono gli script kiddies, ragazzini che copiano codici fatti da altri, – anche italiani – registrano brevi video che dimostrano il loro potere di boaters, come vengono definiti coloro che affittano le botnet e li postano su Instagram liberamente, confondendosi con gli appassionati di barche (in inglese, ”boats”). La semplice ricerca per parole chiave sul social network quando digitiamo #botnet, solo per dare un’idea del fenomeno, ci restituisce ben 6.118 post. Alcuni sono innocui, le didascalie sotto le foto spiegano come funzionano le reti infettate e pronte all’uso, altri invece sono annunci di vendita del servizio che mostrano la potenza della botnet: 30 dollari il costo per poterli utilizzare, naturalmente a tempo.

Le botnet, reti di computer dormienti “riportati in vita” dal loro botmaster quando servono, sono diventate uno dei problemi più seri per la sicurezza di banche, assicurazioni e compagnie elettriche, ma sono usate soprattutto per reclutare e talvolta mettere fuori uso l’Internet delle cose (IoT) di interi palazzi commerciali. Così facendo – al grido di “Ehi, se lo sono meritato!” – spesso l’attività di questi script kiddies consiste nell’inoculare malware in reti e computer poco protetti. Il software malevolo prende possesso delle macchine altrui e le trasforma in obbedienti soldatini digitali, creando in questo modo provocando disservizi, allarmi, concorrenza sleale.

Come spiega Odisseus, nickname di un ricercatore informatico sotto anonimato, esperto di cybersecurity: “spesso si tratta di Executable and Linkable Format. Elf è un codice eseguibile binario: i malware scritti per piattaforme Linux o Unix like (per Windows si chiamerebbe .exe) lo scaricano nei dispositivi presi di mira e siccome la maggioranza sono piattaforme IoT, notoriamente deboli dal punto della sicurezza, assistiamo a una infezione generalizzata di dispositivi che fino a ieri non credevamo potessero essere preda”.

Script kiddies, crackers e black hat (gli hacker criminali) cercano le macchine con gli scanner, le ‘bucano’ con i codici che ne sfruttano le vulnerabilità e se ne impossessano. A quel punto i dispositivi infettati, spesso installati con le password di default del venditore, senza antivirus e non presidiate, diventano cyberarmi con cui attaccare i siti bersaglio tramire DDoS, un attacco distribuito da negazione di servizio, che fa collassare i sistemi per le troppo richieste contemporanee. Era accaduto con Mirai, la botnet che nel 2016 aveva causato il blocco dei server da cui dipendevano Amazon, Twitter e il New York Times. Un emulo del suo autore, Anna Senpaii, è proprio su Instagram. Nelle analisi di Kaspersky l’Italia sta diventando la patria di questi attacchi che secondo altri studi complessivamente sono aumentati del mille per cento durante l’anno scorso.

Arrivano i cacciatori di virus

I ragazzini fanno soldi pubblicizzando le botnet ma sono spesso solo le avanguardie di adulti che invece istruiscono le reti malevole e vendono il codice sorgente nell’ecosistema del malware per puro malaffare. Dietro agli adolescenti che ci cascano su Instagram si nascondono i delinquenti veri, quelli che affittano gli hitman (i sicari) nel dark web per colpire fisicamente chi li combatte. Malware Must Die è uno dei team internazionali di esperti che danno loro la caccia. Di poche parole, si esprimono in gergo tecnico e collaborano con le polizie nazionali ed è anche questo il motivo per cui questi ‘cacciatori di virus’ si nascondono dietro nomi fantasiosi. Il leader del gruppo, tra i più famosi analisti di malware a livello mondiale, si chiama unixfreaxjp, e come gli altri ha ricevuto minacce di morte dai criminali di cui hanno debellato le infrastrutture. Eppure insistono nel cercarli per combatterli perché “questi imperversano, entrano su qualsiasi device, lo infettano e poi ‘dossano’ (da DDoS) tutto il mondo”, dice Odisseus.