Botnet — это совокупность зараженных вредоносным программным обеспечением электронно-вычислительных устройств, подключенных к глобальной сети. В список таких устройств могут входить: мобильные гаджеты, включая смартфоны, планшеты и ноутбуки, корпоративные серверы, рабочие и персональные компьютеры, устройства интернета вещей. При помощи установленного на них вредоносного кода, злоумышленнику удается получить удаленный контроль над оборудованием и использовать его в своих незаконных целях, часто без ведома владельца и пользователей.
Принято различать три основные цели использования сети зараженных устройств:
Фишинговые рассылки. Хакеры используют ботнеты для организации масштабных рассылок спам-писем с вредоносными вложениями, открывая которые пользователь рискует заразить устройство разного рода вирусами, шпионским и рекламным программным обеспечением.
Мошенничество с кликами. Некоторые предприниматели используют маркетинговую стратегию, которая заключается в оплате за переходы по рекламным объявлениям. Таким образом предполагается заинтересовать пользователя и улучшить поведенческие факторы для продвижения в социальных сетях. Ботнеты применяются мошенниками для имитации большого количества переходов. Злоумышленники получают от этого финансовую прибыль, но не приносят выгоды бизнесмену, организующему стратегию.
Генерация вредоносного трафика. Для совершения атаки типа «отказ в обслуживании» (она же DDoS) хакеру необходимо сгенерировать большое количество трафика и направить его на нужную сеть. С этой целью используются зараженные компьютеры. Пользователи устройств зачастую не подозревают, что являются частью большой хакерской атаки на организацию или частное лицо.
Данный термин происходит из английского языка и состоит из двух слов: bot и net, которые переводятся как робот и сеть соответственно. В контексте сетевой безопасности роботом является зараженный вредоносным ПО компьютер или другое устройство. После успешного заражения это устройство становится частью сети, в которой могут присутствовать тысячи машин, находящиеся под контролем одного злоумышленника или группы хакеров. Иногда зараженное устройство называют зомби-компьютером, а сеть таких устройств — армией зомби. Лиц, незаконно контролирующих машины, называют пастухами.
Как правило, вредоносные программы ботнетов не направлены на конкретную организацию или частных пользователей. Злоумышленнику нет разницы, где будут находиться и кому принадлежать зараженные устройства, главное, чтобы они были подключены к интернету. Основная цель — использовать их в своих целях в нужное время. ПО ботнетов свободно распространяется в интернете при помощи современных тактик социальной инженерии, фишинга, вредоносной рекламы, бесплатных файлообменников и пр. Кроме того, вредоносный код может быть развернут в операционной системе во время кибератаки.
Основной целью создания ботнетов является заражение как можно большего количества подключенных к глобальной сети устройств, чтобы получить их суммарную вычислительную мощность и функциональность. После успешного создания армии зомби она может быть использована для автоматизации большого количества задач с целью получения финансовой прибыли или нанесения вреда целевой организации или частному лицу.
Например: ботнет, созданный с целью мошенничества с рекламными объявлениями, заражает пользовательскую машину вредоносным программным обеспечением, которое получает доступ к установленным в операционной системе веб-браузерам. После успешного внедрения в браузеры, программа меняет его настройки и перенаправляет запросы пользователя на мошеннические веб-сайты с онлайн-рекламой.
Обнаружить botnet неподготовленному пользователю может быть непросто, так как вредоносный код не получает полный контроль над операционной системой или веб-браузерами, что могло бы вызвать у жертвы подозрение. Вместо этого ботнет внедряется в несколько процессов браузера, которые часто остаются незаметными для пользователей, так как работают в фоновом режиме, и берет под контроль лишь небольшую их часть. При этом вредоносному ПО требуется небольшое количество трафика для выполнения мошеннических действий, что позволяет долгое время оставаться незамеченным.
Сама по себе часть полосы пропускания, отнятая у отдельного устройства, мало что дает киберпреступникам, ведущим кампанию по мошенничеству с рекламными объявлениями. Однако ботнет, объединяющий миллионы устройств, сможет генерировать огромное количество фейкового трафика, используемого для мошеннических действий с рекламой.
Как правило, устройства подвергаются заражению ботнетами по причине установки шпионского и вредоносного ПО, часто замаскированного под доверенные приложения. Вредоносное ПО ботнета обычно предназначено для автоматического сканирования систем и устройств на наличие распространенных уязвимостей, которые не были своевременно устранены, в надежде заразить как можно больше устройств.
После успешного заражения желаемого количества машин, киберпреступники получают возможность управлять ботами, используя два основных подхода:
Клиент-серверный ботнет. Традиционная клиент-серверная модель предполагает использование сервера управления контроля C&C, который позволяет киберпреступнику автоматизировать процесс отправки команд зараженным зомби-компьютерам через протокол связи, такой как интернет-чат IRC. Затем устройства, составляющие ботнет, программируются таким образом, чтобы оставаться в режиме ожидания команд от сервера, прежде чем инициировать кибератаки и другие вредоносные действия.
P2P-ботнет. Это децентрализованная модель, в которой не предусматривается использование центрального компьютера управления. Вместо этого контроль над зараженными ботами осуществляется с использованием одноранговой сети P2P. Зараженные устройства могут быть запрограммированы для перехода на вредоносные веб-сайты или на получение доступа к другим устройствам, входящим в ботнет. Затем боты могут делиться обновленными командами или последними версиями вредоносного ПО.
На сегодня второй подход является наиболее распространенным среди киберпреступников, так как позволяет хакерам и группам мошенников избежать обнаружения со стороны специалистов по кибербезопасности и правоохранительных органов, которые часто полагаются на клиент-серверную архитектуру C&C для обнаружения ботнетов и нарушения их функционирования.
На сегодня не существует универсального решения, которое бы позволило безошибочно обнаружить заражение и предотвращать выполнение вредоносного программного обеспечения ботнетов. Однако, специалисты по кибербезопасности бизнес-организации могут предпринять такие основные меры защиты, призванные повысить уровень кибербезопасности сети и подключенных к ней устройств:
расширенный поведенческий анализ сети. Позволяет своевременно обнаружить непредсказуемое поведение сетевого трафика;
загрузка программного обеспечения только из доверенных источников. Необходимо убедиться, что на компьютере установлено только лицензионное ПО от официальных производителей;
регулярные обновления. Рекомендуется своевременно устанавливать обновления не только программного обеспечения, но и аппаратных устройств, например, прошивок роутеров и маршрутизаторов. Прошивки должны быть разработаны официальным производителем. Кастомные версии не всегда являются стабильными и могут быть заражены вредоносным кодом;
внедрение политик доступа. Организации должны позаботиться о создании правил доступа к ресурсам и устройствам, в зависимости от прав и роли сотрудника;
применение автоматизации защитных мер в сетях IoT. С этой целью могут быть использованы современные технологии машинного обучения и искусственного интеллекта. Автоматизировать защиту следует до того, как ботнеты смогут нанести вред;
внедрение современных методов аутентификации сотрудников, в том числе двухфакторных способ проверки подлинности пользователя.
Обнаружить ботнеты частным пользователям бывает затруднительно, так как активность вредоносного программного обеспечения не является постоянной, данный процесс не требует использования большого количества ресурсов и вычислительной мощности компьютера, что позволяет программе оставаться незамеченной на длительный срок. Идентифицировать и нейтрализовать хакерское ПО на персональном компьютере помогут стандартные средства защиты, включая антивирусные и антишпионские программы.
Увеличение количества подключенных устройств, используемых в современных отраслях, создает идеальную среду для распространения ботнетов. Для достижения своей цели ботнеты полагаются на большую сеть устройств, что делает интернет вещей с его большой площадью атаки основной мишенью. Сегодняшние сравнительно недорогие устройства, позволяющие подключаться к глобальной сети, являются уязвимыми для атак ботнетов не только из-за их широкого распространения, но и потому, что они часто имеют ограниченные функции безопасности.
Кроме того, устройства IoT часто проще взломать, поскольку ими нельзя управлять, получать доступ или контролировать их так же, как это возможно с обычными устройствами информационных технологий. Для обеспечения высокого уровня безопасности бизнес-организациям рекомендуется внедрять более строгие методы аутентификации.
Выше в данном материале было описано, что такое ботнет, принцип его работы и распространения. Подведем итоги вышесказанного рассмотрением наиболее знаменитых случаев обнаружения сети зараженных устройств, используемых киберпреступниками для злонамеренных действий.
Впервые вредоносная программа Zeus была обнаружена в 2007 году. С тех пор она является одним из наиболее известных и широко используемых типов вредоносного ПО в истории информационной безопасности. Для того чтобы заразить целевые устройства, используется троян. Разные варианты Zeus длительное время применялись киберпреступниками для различных целей, включая распространение вымогателя CryptoLocker.
Изначально программа Зевс использовалась с целью незаконного завладения финансовой информацией и сбора банковских счетов жертв. После сбора информации хакеры использовали зараженных ботов для рассылки фишинговых и спам-сообщений с целью заразить трояном как можно больше потенциальных жертв.
В 2010 ботнет Зевс несколько раз прекращал свою активность. Это было связано с закрытием двух интернет-провайдеров, на которых размещались центральные серверы Zeus. Спустя некоторое время специалистам удалось обнаружить новые версии вредоносного программного обеспечения.
В 2016-м году специалистами компании White Ops, основной деятельностью которой является кибербезопасность, была обнаружена масштабная ботнет сеть, занимающаяся мошенническими действиями, связанными с рекламой, и киберпреступностью под названием Methbot. Согласно отчетам исследователей безопасности, владелец сети зараженных устройств за один день получал незаконную финансовую прибыль на сумму от трех до пяти миллионов долларов. Основную часть прибыли составляли деньги, полученные от мошеннических кликов по онлайн-рекламе и поддельные просмотры рекламных видеороликов.
Особенностью данной вредоносной кампании был тот факт, что в качестве ботов использовались не случайные устройства, зараженные вредоносным кодом, а выделенные серверы в центрах обработки данных, расположенных в Нидерландах и Соединенных Штатах. Количество серверов достигало 800 штук. В операционную инфраструктуру кампании входили 6000 поддельных доменов и более 800 000 выделенных IP-адресов, многие из которых были ошибочно зарегистрированы как принадлежащие законным интернет-провайдерам.
Зараженные серверы использовались не только для подделки движений курсора и щелчков по рекламным объявлениям. Они имели возможность создавать поддельные аккаунты в популярных социальных сетях, в том числе LinkedIn и Facebook, выдавая себя за реальных пользователей с целью обойти существующие методы и практики, которые позволяли обнаруживать случаи рекламного мошенничества.
Инженерами по безопасности из компании White Ops были опубликованы в открытом доступе обнаруженные поддельные домены и мошеннические IP-адреса, чтобы рекламодатели могли проанализировать информацию и, в случае активности этих адресов, заблокировать их.
В конце 2016 года были также зарегистрированы несколько рекордно крупных атак типа «отказ в обслуживании». Позже специалистам удалось выяснить, что все DDoS-атаки были связаны с вредоносным программным обеспечением под названием Mirai. Отличительной чертой атак можно назвать тот факт, что для отправки вредоносного трафика были использованы не только компьютеры: он генерировался различными устройствами, подключенными к сети, в том числе камерами наблюдения и беспроводными маршрутизаторами.
Вредоносное ПО было разработано киберпреступниками с целью сканирования глобальной сети на предмет наличия незащищенных устройств. После их обнаружения запускался алгоритм входа в систему. Первым этапом его работы была попытка войти в аккаунт, используя стандартные данные входа и пароли по умолчанию. Если такая попытка проваливалась, программа запускала брутфорс-перебор до обнаружения подходящей комбинации.
Как только незащищенное устройство было скомпрометировано, оно подключалось к инфраструктуре C&C и могло перенаправлять различные объемы трафика на цель DDoS. Зараженные устройства часто продолжали нормально функционировать, что затрудняло обнаружение активности ботнета Mirai. Его исходный код позже был опубликован, что позволило злоумышленникам использовать вредоносное ПО для создания ботнетов, нацеленных на плохо защищенные устройства IoT.