Что такое ботнеты и чем они опасны

Как ботнеты стали угрозой  

Первые интернет-боты были созданы еще в 1988 году для сетевого чата Internet Relay Chat (IRC), который только начинал развиваться. Чтобы их создать, не требовались клиенты или API — достаточно было использовать утилиты вроде telnet или netcat, чтобы напрямую писать в сокет IRC-сервера. Боты выполняли различные автоматические задачи для пользователей и поддерживали активность в каналах.

Одна из первых крупных атак с их помощью произошла в 2000 году. На тот момент компания EarthLink была одним из ведущих почтовых и интернет-хостов.

Злоумышленники создали на ее платформе множество поддельных аккаунтов и начали рассылку фишинговых спам-писем. В ожидании бесплатных товаров и услуг пользователи передавали личную информацию и становились частью ботнета, пересылая спам уже своим контактам.

За год эта схема затронула около 12% всего почтового трафика EarthLink. Чтобы прекратить атаки и взыскать часть убытков, компания предъявила одному из создателей ботнета Кей Си «Хану» Смиту иск на 24 миллиона долларов. Суд встал на сторону EarthLink.

Эволюция ботнетов

Со временем основным вредоносным назначением IRC-ботов стала атака внутри сетей — DoS-атак. Затем появилась идея объединять множество зараженных устройств для DDoS-атак, что требовало обширных сетей ботов. Чтобы нарастить количество подконтрольных девайсов, злоумышленники начали использовать вирусы и методы социальной инженерии, иными словами — психологические манипуляции.

Сегодня ботнет — один из самых сложных видов современных вредоносных программ и серьезная проблема для сферы кибербезопасности. Он состоит из ботов, которые скрываются от обнаружения, могут управлять другими узлами и используют различные тактики кибератак.

Как и зачем создают ботнеты 

Создать крупный и эффективный ботнет — задача «со звездочкой». Для того чтобы стать ботоводом небольшой сети «по инструкции из интернета», достаточно разбираться в устройстве и работе сети. Самый легкий вариант для преступника с низкой квалификацией — арендовать группу зараженных устройств для своих целей.

Независимо от размера ботнета, его создание можно разделить на несколько этапов:

1. Поиск уязвимостей

Хакеры изучают поведение пользователей, веб-сайты и приложения, чтобы найти способ распространить вредоносный код.

2. Распространение вредоносного ПО

Мошенники заражают максимальное количество устройств. Для этого они используют методы социальной инженерии. Например, используют громкий инфоповод (COVID, мобилизация, изменения в законодательстве), чтобы заставить жертву нажать на «документ» или «картинку», от которых якобы может зависеть ее дальнейшая жизнь.

3. Использование ботнета

Киберпреступники формируют сеть из зараженных устройств и управляют ими. В зависимости от успехов на предыдущем этапе, ботнет может насчитывать тысячи или даже миллионы компьютеров.

Как работает ботнет

Как правило, ботнет — централизованная система, в которой все зараженные вредоносным кодом устройства и системы подчиняются оператору. Чем больше элементов в сети, тем она мощнее и больше задач способна выполнять. При этом ботнет может выполнять свои функции, даже если потеряет часть узлов, просто будет делать это менее эффективно.

Виды ботнетов

Главная особенность ботнета — способность получать обновления и команды от управляющего центра. Благодаря постоянному каналу связи с ботами злоумышленник может гибко управлять сетью: менять цели атак, переключать IP-адреса, приостанавливать действия или запускать новые операции.

Существует два типа управления ботнетом:

Модель «Клиент-Сервер»

Каждый бот в клиент-серверной модели подключается к управляющим серверам. Они служат командными центрами и передают инструкции через протоколы типа IRC, HTTP или FTP.

Преимущества модели «клиент-сервер» в ее простоте, но в этом кроется уязвимость — централизованные серверы легко обнаружить и отключить. Поэтому ботнет становится уязвим для действий специалистов по кибербезопасности и правоохранительных органов. Более того, хакер рискует быть идентифицированным, ведь сервер может раскрыть его IP-адрес.

Пиринговая модель (P2P)

В peer-to-peer (P2P) структуре каждый бот может выполнять роль клиента и сервера, что обеспечивает передачу команд и данных по всей сети.

Каждый бот поддерживает список доверенных соседей, с которыми может обмениваться сообщениями и обновлениями ПО. Отсутствие центрального сервера снижает уязвимость сети и затрудняет контроль со стороны специалистов по безопасности.

В отличие от централизованной модели, Р2Р-модель считается более современной, безопасной для ботовода и устойчивой для сети. Однако управление и мониторинг требует больше ресурсов для распространения команд по ботнету. 

Как хакеры управляют ботнетом

Центр управления сети — командный сервер(C&C), откуда поступают все команды от ботмастера на зараженные устройства. В зависимости от архитектуры, ботнетом можно командовать напрямую или через посредника.

В клиент-серверной модели управление происходит через единый сервер. Иногда команды могут передавать через прокси — дополнительные сервера. В любом случае они будут исходить от ботмастера и передаваться по всей структуре.

Управлять сетью можно с любого зараженного устройства. Пока ботмастер может связаться хотя бы с одним узлом своей сети — он может связаться со всеми.

Что умеют ботнеты

Ботнеты предназначены для выполнения атак, которые легко автоматизировать и проводить в больших масштабах:

• Спам

Ботнеты могут рассылать огромные объемы спама для распространения рекламы, других вредоносных программ или расширения собственной сети.

С 2007 по 2008 год червь Storm заразил порядка 2 млн компьютеров и генерировал примерно 20% всего спам-трафика в интернете. Ботнет мог и защищаться: если с адреса поступало слишком много запросов на загрузку (как это делают антивирусные компании), боты начинали на него DDoS-атаку.

• DDoS

Одновременные запросы множества устройств способны перегрузить серверы и сети. Цель у хактивистов может быть любая, от политических соображений до вымогательства.

Ботнет Mirai в 2016 году был инструментом для DDoS-атак мощностью до 1,2 Тбит\сек. После того, как автор вредоносного ПО опубликовал его код в открытом доступе, количество крупных DDoS-атак значительно возросло.

• Финансовое мошенничество

Некоторые ботнеты специально созданы для кражи финансовых средств и персональных данных, включая информацию о кредитных картах.

Ботнет ZeuS — самый известный банковский троян, существовал с 2010 по 2014 года. По оценкам аналитиков, он применялся в 90% случаев банковского мошенничества в мире и нанес финансовый ущерб в несколько миллиардов долларов.

Хакеры научились использовать ботнеты и для множества других незаконных задач:

• брутфорс паролей;
• фишинг;
• криптоджекинг;
• мошенничество с рекламой;
• скальпинг;
• сканирование уязвимостей;
• доставка вредоносного ПО.

Список можно продолжать еще долго, поскольку ботовод может менять функционал сети в зависимости от задач и адаптироваться к контрмерам. 

Самые известные ботнеты в мире

Mirai 

В 2016 году три подростка создали ботнет Mirai, который заражал незащищенные IoT-девайсы. По оценкам экспертов, на пике развития червь смог заразить более 600 000 устройств.

Mirai сканировал интернет в поисках приборов, работающих на процессорах ARC и захватывал управление. Для этого перебирал известные пароли и логины, пока не получал полный доступ.

Через ботнет было организовано множество DDoS-атак, мощностью до беспрецедентных 1.2 Тбит/с. В ней было задействовано примерно 145 тысяч IoT-устройств. В октябре 2016 года создатели Mirai опубликовали его исходный код на хакерском форуме.

После этого крупные DDoS-атаки участились, а исследователи ИБ осознали, что безопасность IoT-устройств — реальная проблема.

Mēris 

Первые действия ботнета Mēris (по-латышски «чума») заметили в 2021 году в ходе совместного исследования компании QRator и «Яндекс».

Зараженная сеть состояла из маршрутизаторов и сетевого оборудования, производимого латвийскими компаниями MikroTik и Linksys. Предположительно, он насчитывал более 200 тысяч устройств и обладал потенциалом для организации атак в несколько Тбит\сек.

QRator и «Яндекс» передали всю информацию в профильные организации и производителям оборудования, чтобы совместными усилиями нейтрализовать Mēris.

Necurs

В 2020 году в 35 странах провели скоординированные технические и правовые действия по блокировке одного из крупнейших ботнетов в мире — Necurs. Эти действия стали итогом многолетнего наблюдения правоохранительных органов за сетью и анализа её инфраструктуры, что позволило лишить преступников важных инструментов для атак.

Necurs обнаружили в 2012 году, когда злоумышленники использовали его для массовой рассылки спама и распространения вредоносных программ, включая банковский троян GameOver Zeus.

Только за два месяца расследования было зафиксировано, что один из зараженных компьютеров разослал 3,8 миллиона писем на более чем 40 миллионов адресов. Всего в ботнете насчитывалось более 9 млн зараженных компьютеров.

Necurs применялся для множества других преступных операций: от фальшивых акций и рассылок до кражи данных. Ботнет сдавался в аренду другим киберпреступникам, которые использовали его для распространения вирусов, кражи данных, криптомайнинга и DDoS-атак.

Emotet

Один из самых устойчивых ботнетов. В 2014 Emotet задумывался как банковский троян, но он быстро перерос эти рамки и стал платформой для киберпреступников. Сеть использовали для распространения вредоносного ПО, кражи данных и других незаконных операций.

Emotet использовал электронную почту для распространения вредоносных файлов. Пользователи получали письма с документами Word, якобы содержащими счета, уведомления о доставке и сообщения о COVID-19. Открытие файла запускало вредоносный код и заражало устройство.

В 2021 году правоохранительные органы нескольких стран провели скоординированную операцию и взяли под контроль сотни серверов Emotet по всему миру. В результате инфицированные компьютеры были перенаправлены на безопасные серверы, чтобы заблокировать дальнейшее распространение угрозы.

911 S5 a.k.a Cloudrouter

Ботнет 911 S5 работал с 2014 по 2022, пока не был отключен владельцем. Однако уже в 2023 году он заработал под новым именем — Cloudrouter.

Сеть расширялась благодаря распространению бесплатных сервисов VPN: MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN и ShineVPN. Пользователи скачивали программу, подключались к сети и делали свое устройство частью ботнета.

911 S5 расширялся и за счет «объединения» с другим ПО, например Adobe Flash Player или другими «взломанными» или пиратскими приложениями. В итоге ботнет насчитывал более 19 миллионов уникальных IP-адресов.

Киберпреступники использовали сеть для широкого спектра преступлений, от страхового мошенничества и кибератак до рассылки угроз и шантажа. Чтобы поймать владельца ботнета, потребовались совместные усилия правоохранителей США, Сингапура, Таиланда и Германии.

Они вычислили хакера по имени ЮньХэ Ван, арестовали его, изъяли личные активы преступника на сумму порядка 30 млн долларов, и все оборудование, связанное с 911 S5. По данным минюста США, только в Америке ущерб от действий ботнета превысил 5.9 млрд долларов. 

Как умные устройства (IoT) становятся частью ботнета

Безопасность сети можно оценить по самому уязвимому устройству в ней. Поэтому умные девайсы не только создают комфорт и удобство, но и могут стать точкой входа в сеть и ячейкой ботнета.

Во-первых, системы IoT-девайсов защищены гораздо слабее, чем Wi-Fi и не имеют антивирусных систем.

Во-вторых, заражение умной поилки для кота, тостера или кофеварки обнаружить значительно сложнее, чем компьютера или телефона. Слабые стандартные пароли и редкие обновления ПО — известные проблемы IoT-вещей.

В-третьих, девайсы изначально могут быть целью хакера. Речь идет не только про умные замки, взлом которых может угрожать физической безопасности. Камеры для наружного наблюдения имеют мощный процессор и хорошее соединение с интернетом, что делает их отличным ботом для DDoS.

Как распознать, что устройство стало частью ботнета 

Обнаружить, что ваш компьютер или девайс управляется кем-то еще, крайне сложно. Симптоматику вредоносного ПО легко спутать с другими вирусами, системными сбоями или проблемами с оборудованием. Однако есть ряд характерных признаков, которые могут указать на то, что ваше устройство заражено:

• Необычная активность системы

Активная нагрузка и работа без видимых задач — повод проверить, на что компьютер тратит ресурсы.

• Снижение скорости интернета

Ботнеты активно используют сеть, поэтому падение скорости интернета без видимых причин может указывать на скрытую активность.

• Медленная перезагрузка и завершение работы

Устройство может «тормозить» при выключении из-за передачи данных или завершения работы программ.

• Рассылка спама с ваших аккаунтов

Если вы обнаружили сообщения, которые не отправляли, или получали жалобы на спам, к вашему почтовому ящику получил доступ кто-то еще.

Как уничтожить ботнет

Понимание структуры ботнета помогает выявить его слабые места и выбрать методы нейтрализации. Однако с переходом от централизованной к P2P-архитектуре зараженную сеть сложнее обнаружить и подавить.

Сети зараженных устройств часто охватывают множество стран, поэтому эффективная борьба с ними требует совместных усилий большого количества структур и подразделений. В работу включаются правоохранительные органы, аналитики киберугроз и IT-компании, которые находят разные способы нейтрализации ботнетов:

• Нейтрализация командных серверов (C&C-узлов). Если ботнет использует централизованные серверы, деактивация нарушит работу сети.
• Жалобы на провайдера. Часто C&C-серверы размещаются у определенных провайдеров. К ним можно обратиться с жалобами для отключения этих серверов.
• Захват доменных имен. Если ботнет управляется через определенные доменные имена, их захват блокирует распространение команд. Однако без судебного разрешения такие действия считаются вмешательством в чужую собственность (доменное имя считается нематериальным активом).
• Блокировка IP-адресов. Ограничение доступа к известным IP-адресам, связанным с ботнетом, может нарушить его функционирование.
• Арест организатора. В некоторых случаях задержание создателей ботнета с последующими судебными исками позволяет уничтожить сеть полностью.

Иногда ботнет может выйти из строя из-за ошибки самих хакеров. Так произошло с сетью KmsdBot. Она использовалась для добычи криптовалюты и DDoS-атак, а распространялась через поиск случайных IP-адресов в поисках открытых портов SSH и подбора паролей.

Для скрытности вирус удалялся через некоторое время, поэтому устройство нужно было заново заразить. Исследователи кибербезопасности обнаружили, что в коде KmsdBot хакеры не встроили внутреннюю проверку ошибки и корректности команд. Поэтому опечатка в коде во время одной из DDoS-атак привела к аварийному завершению работы ботнета, и по сути, его самоликвидации.

Ботнеты могут состоять из устройств на разных ОС: от компьютеров на Windows до маршрутизаторов, коммутаторов и бюджетных сетевых систем хранения данных на Linux или Unix-устройств.

Производители оборудования часто заинтересованы в быстром устаревании продукции и зачастую не устраняют уязвимости, а также умышленно не предусматривают механизмы централизованного обновления.

Правовые меры и международное сотрудничество

Криминализация создания и использования ботнетов, а также международное сотрудничество правоохранительных органов могут  значительно снизить эффективность зараженных сетей и усложнить жизнь киберпреступникам.

В 2021 году при ООН была создана рабочая группа для разработки международной конвенции по киберпреступности. Документ устанавливает юридическую основу для улучшения взаимодействия между государствами в области борьбы с киберпреступностью и обмена электронными доказательствами.

Над Конвенцией трудились эксперты из более чем 160 государств, включая представителей правоохранительных органов. Законодательный акт утвержден 9 августа 2024 года и использует технологически нейтральные формулировки, чтобы адаптироваться к развитию сетевой безопасности и новым угрозам.

Как защитить устройства от попадания в ботнет 

Эффективная защита начинается с надежного ПО, осведомленности об угрозах и внимательности в сети. Вирусы и ботнеты становятся изощреннее, но риск заражения всегда можно минимизировать.

Как не допустить заражения устройства

• Используйте надежные и уникальные пароли

Регулярно обновляйте пароли для всех подключенных к сети устройств, особенно IoT-устройств. Сильный ключ должен содержать буквы, цифры и символы в разном регистре.

• Не пользуйтесь незащищенными устройствами

Недорогие IoT-устройства редко надежно защищены, поэтому для киберпреступников они легкая мишень. Перед покупкой проверьте репутацию производителя и узнайте, как он обеспечивает безопасность.

• Измените заводские настройки по умолчанию

После покупки меняйте не только пароль, но и логин, а также другие настройки. Заводские параметры часто известны злоумышленникам, и оставлять их опасно.

• Не открывайте подозрительные вложения и ссылки

Фишинговые атаки часто используют вложения или ссылки для загрузки вредоносного ПО Будьте осторожны, открывая письма от незнакомых отправителей и всегда проверяйте надежность источников.

• Регулярно обновляйте программное обеспечение

Обновления ОС и других программных компонентов устраняют уязвимости. Автоматическое загрузка новых версий актуализирует ПО и снизит риск заражения.

• Установите антивирусное ПО и брандмауэр

Надежное антивирусное решение и активированный брандмауэр не гарантируют полную безопасность, но защищают от большинства известных угроз и контролируют сетевой трафик.