Con "rete Bot" viene definito un insieme di computer collegati in rete tra loro sotto il controllo di un cosiddetto Botmaster e che da questo possono essere comandati in remoto senza la consapevolezza e l'autorizzazione del proprietario. I computer infetti vengono chiamati "zombie".

 

Il Botmaster può utilizzare i PC catturati e sotto il suo controllo per una varietà di scopi fraudolenti. Poiché può accedere ai singoli computer, proprio come se fosse lui stesso fisicamente seduto di fronte al sistema, è in grado sia di accedere ai dati memorizzati sul sistema, che di usare la connessione di rete del computer in modo del tutto inosservato.

 

Le possibilità sono quindi molteplici. Oltre al furto di dati, l'accesso ai computer catturati permette di nascondere l'identità dell'aggressore utilizzando come proxy il PC della vittima. A seconda delle dimensioni della rete Bot, il delinquente può, in casi estremi, cambiare il proprio indirizzo IP in pochi secondi e avviare ulteriori azioni illegali attraverso la connessione del malcapitato. Inoltre, i PC controllati in remoto sono adatti a diffondere i codici Bot dannosi o ad inviare messaggi di spam su larga scala.

 

Se si osservano le dimensioni di una tipica rete Bot, che può variare da alcune centinaia a svariate migliaia di macchine infette, si scopre un ulteriore campo di utilizzo di questo esercito, ovvero come armi per eseguire i cosiddetti attacchi DDoS (Distributed Denial of Service). Durante questi attacchi, i server Web o di posta elettronica presi di mira vengono inondati da innumerevoli richieste. Nel peggiore dei casi, un numero adeguato di zombie è in grado di sovraccaricare completamente un server e metterlo fuori servizio. Questa tecnica apre le porte ad azioni criminali, come l'estorsione di tangenti.

 

Molto diffuso è anche l'uso di computer zombie come server Web o FTP, che può servire a vari scopi. Si possono ad esempio preparare pagine Web infette per carpire ulteriori informazioni o usare i sistemi delle inconsapevoli vittime come archivio per pornografia, copie pirata ecc.

 

L'amministrazione e il coordinamento dei PC zombie, probabilmente ubicati in tutto il mondo, si svolgono con diverse modalità. Mentre per le prime reti Bot veniva ancora usato un server centrale di comando e controllo, oggi si prediligono sempre di più strutture di comunicazione decentrate, simili alle reti dei siti di scambio P2P (Peer-to-Peer). Questa situazione rende più complicato fermare le reti Bot, dato che non esiste un server centrale da spegnere per disattivare l'intera rete. Al contrario, tutti gli zombie comunicano direttamente tra di loro, conferendo alla rete Bot una stabilità decisamente superiore.

 

Le reti Bot possono reclutare nuovi PC zombie in vari modi. Oltre alla diffusione tramite e-mail infette, anche le pagine Web popolari, controllate dagli hacker, possono contribuire alla crescita di una rete Bot, sfruttando le falle nel sistema operativo o nelle applicazioni e propagando l'infezione durante "il transito", con la cosiddetta tecnica "drive by infection". È sufficiente una sola visita in una pagina Web provvista di un codice nocivo per infettare il computer.

 

Le reti Bot si sono sviluppate diventando una delle più importanti fonti di reddito illegali presenti in Internet: da un lato servono per raccogliere masse di dati rubati dai computer delle vittime, dall'altro per noleggiare le capacità della rete a terzi su base oraria o mensile oppure a prezzo fisso, ad esempio secondo il numero di messaggi di spam inviati tramite la rete Bot.