Ботнеты – это сети, состоящие из компьютеров, захваченных киберпреступниками, которые те используют для различных махинаций и кибератак. Слово Botnet (ботнет) образовано от слов «robot» (робот) и «network» (сеть). Организация ботнета обычно является начальным этапом многоуровневой схемы. Боты служат инструментом массированных автоматизированных атак, цель которых – похищение данных, вывод из строя серверов и распространение вредоносного ПО.
Организаторы ботнетов без ведома владельцев используют их устройства для мошенничества или дестабилизации чьей-либо работы. Часто возникает вопрос: «Что такое ботнет-атака и как она происходит?» В этой статье мы расскажем, как киберпреступники создают и используют ботнеты.
Ботнеты создаются, чтобы интенсифицировать и автоматизировать масштабные хакерские атаки.
Активность отдельного хакера или даже команды хакеров ограничена производительностью их локальных устройств. Но потратив немного времени и средств, хакеры могут получить в свое распоряжение тысячи дополнительных компьютеров, что сильно повысит эффективность их атак.
Сетью захваченных устройств удаленно управляет ботмастер. Как только образуется сеть из ботов, ботмастер при помощи команд программирования организует их дальнейшие действия. Команда хакеров может самостоятельно организовать ботнет и управлять им или взять его в аренду.
Ботами, или зомби-компьютерами, называются любые зараженные вредоносным ПО устройства, которые были включены в ботнет. Эти устройства полностью подчиняются командам ботмастера.
Организация ботнета происходит в несколько этапов.
Первый этап начинается с поиска уязвимостей: в веб-сайтах, приложениях или в поведении пользователей. Цель этого этапа – найти способ заразить устройство пользователя вредоносным ПО. Для этого хакеры часто используют уязвимости в программном обеспечении и веб-сайтах или рассылают вредоносное ПО по электронной почте и через онлайн-мессенджеры.
На втором этапе пользователь совершает действие, которое приводит к заражению его устройства вредоносным ПО. Иногда для загрузки специальной троянской программы хакеры с помощью методов социальной инженерии «привлекают» пользователя. В других случаях они действуют более агрессивно, заманивают пользователей на зараженные веб-сайты, где происходит скрытая загрузка вредоносных программ. Но каким бы методом ни пользовались киберпреступники, в итоге им удается преодолеть защиту некоторого количества компьютеров.
На третьем этапе хакеры получают контроль за всеми этими компьютерами. Из зараженных устройств они организуют сеть ботов, которой могут управлять удаленно. Часто киберпреступникам удается заразить и захватить тысячи, десятки тысяч и даже миллионы компьютеров. Таким образом они получают в управление огромную зомби-сеть, то есть укомплектованный и готовый к действию ботнет.
Но остается вопрос: «А что все-таки делает ботнет?» На зараженном зомби-компьютере хакеры получают доступ с правами администратора, что позволяет им совершать следующие действия:
Ботом может стать любое устройство, имеющее интернет-подключение.
Нам не приходит в голову, что многие устройства, которые мы используем, представляют собой некое подобие компьютера. Практически любое компьютерное устройство с возможностью подключения к интернету может стать частью ботнета, и эта угроза постоянно растет. Ниже перечислены самые обычные устройства, которые могут оказаться в составе ботнета.
Традиционные компьютеры (настольные и ноутбуки), работающие на операционных системах Windows или macOS, давно и часто используются для создания ботнетов.
Мобильные устройства распространяются все шире, поэтому тоже являются мишенями для организаторов ботнетов. Смартфоны и планшеты не раз становились частью ботнет-атак.
Элементы сетевой инфраструктуры, используемые для подключения к интернету и поддержки онлайн-соединений, также могут включаться в состав ботнета. Сюда же относятся интернет-роутеры и веб-серверы.
Устройства интернета вещей (IoT) – любые подключенные к интернету устройства, способные обмениваться друг с другом данными, в том числе:
Все это оборудование может быть взломано и стать частью масштабного ботнета. Рынок технологий переполнен дешевыми и плохо защищенными устройствами, которые подвергают серьезному риску своих владельцев. Без антивирусной защиты такие устройства можно незаметно заразить вредоносным ПО и включить в ботнет.
Для управления ботнетом, во-первых, необходимо отдавать команды ботам, а во-вторых, делать это анонимно. Поэтому хакеры управляют ботнетами дистанционно.
Командный сервер (C&C) – это центр управления ботнетом. Это основной сервер ботмастера, откуда поступают все команды зомби-компьютерам.
Ботнетом можно командовать напрямую или опосредованно. Для этого существуют две модели управления:
В рамках централизованной модели ботнетом управляет ботмастер через единый сервер. Как вариант, для передачи команд используются несколько дополнительных серверов, так называемых прокси. В обоих случаях все команды исходят от ботмастера и передаются далее в соответствии с установленной иерархией. При такой структуре ботмастер можно обнаружить, поэтому эта модель считается устаревшей и далеко не идеальной.
В рамках децентрализованной модели право передавать команды распределено между всеми зомби-компьютерами. Пока ботмастер может связаться хотя бы с одним зомби-компьютером, команды будут передаваться от одного устройства к другому. Пиринговая структура такой модели не позволяет идентифицировать ботмастер. Преимущества Р2Р-модели перед устаревшей централизованной очевидны, поэтому такую модель сейчас используют гораздо чаще.
Создатели ботнетов всегда преследуют какую-то цель, будь то финансовая выгода или удовлетворение личных амбиций.
В основном ботнет-атаки имеют те же цели, что и другие киберпреступления. Как правило, злоумышленники хотят либо похитить что-то ценное, либо причинить кому-нибудь вред.
Иногда киберпреступники формируют крупную сеть зомби-устройств и продают доступ к ней третьим лицам. Покупатели – это обычно такие же киберпреступники, которые либо арендуют ботнет, либо покупают его. Например, спамеры могут взять в аренду или купить сеть ботов для крупномасштабной кампании по рассылке спама.
Ботнеты приносят своим создателям огромную выгоду – хотя некоторые хакеры занимаются этим просто из любви к искусству. В конечном итоге ботнеты используются для самых разных атак, направленных как на владельцев захваченных устройств, так и на других людей.
Хотя ботнеты сами по себе являются угрозой, они еще и идеальный инструмент для вторичных схем и масштабных кибератак. Приведем наиболее типичные из них.
DDoS-атака – это создание критической нагрузки на сервер с помощью веб-трафика с целью нарушения его работы. Зомби-компьютеры получают команду непрерывно обращаться к веб-сайтам или онлайн-сервисам, в результате чего эти сайты и сервисы на какое-то время выходят из строя.
Фишинг – это попытка мошенников выманить у людей ценную информацию, действуя под видом известных организаций или лиц, их представляющих. Обычно это включает масштабную кампанию по рассылке спама, цель которой – похитить личные данные пользователей, такие как логины и пароли к банковским аккаунтам или почтовым сервисам.
Брутфорс-атаки – это атаки с помощью специального ПО, предназначенного для взлома онлайн-аккаунтов. Для взлома слабых паролей и получения доступа к аккаунтам пользователей злоумышленники действуют методом перебора и подстановки учетных данных.
Учитывая, какие угрозы несут ботнеты для вашей собственной безопасности и безопасности окружающих, необходимо защитить себя от вредоносных программ, которые превращают устройство в бот.
В этом вам поможет защитное ПО и небольшое изменение ваших собственных привычек при работе с компьютером.
Если организаторы ботнета уже запустили щупальца в ваше устройство, их будет сложно остановить. Чтобы предотвратить фишинговые атаки и другие угрозы, убедитесь в том, что все ваши устройства надежно защищены от вредоносного проникновения.
Статьи по теме: