Статті

Ботнеты могут стать основной ударной силой в кибервойнах

29 июля, 2014. 09:07 Олег Николаев
О ботнетах сейчас много говорят производители антивирусного программного обеспечения. Пишут в ИТ-новостях и спорят обычные пользователи ПК. Время от времени в СМИ появляется информация об обезвреживании очередного ботнета. Тем не менее, по мнению экспертов, обнаруженные ботнет или зомби-сети – это лишь вершина айсберга.

Ботнет (botnet – сокращение от roBOTNETwork) представляет собой сеть компьютеров, зараженных вредоносным кодом, который позволяет преступным группировкам удаленно управлять «инфицированными» машинами без ведома пользователя. При этом бот – это вредоносная программа, которая внедряется на ПК и предоставляет функции удаленного управления киберпреступникам, а сам зараженный компьютер превращается в «зомби». Компьютер, который управляет ботнетом, называется центром управления. Правда, чтобы не размещать в одном месте управление большим ботнетом, злоумышленники дробят его на несколько более мелких, на случай, если один из них выйдет по каким-либо причинам из строя. В некоторые ботнеты входит только несколько сотен компьютеров, тогда как в другие — десятки или даже сотни тысяч компьютеров-зомби.

Примечательно, что разработчики ботов стараются сделать так, чтобы эти вредоносные программы долгое время не выдавали своего присутствия на ПК. Поэтому многие владельцы инфицированных компьютеров не подозревают о заражении. Среди подозрительных признаков может быть разве что замедление работы системы, появление странных сообщений, иногда может случиться сбой. В то же время, в случае обнаружения Интернет-провайдером фактов распространения из инфицированного ПК вредоносного программного обеспечения, спама или массового DDoS-трафика, провайдер может отключить ваш ПК от Сети.

Боты проникают на чужие компьютеры несколькими способами. Чаще всего они распространяются через сомнительные веб-сайты, при загрузке непроверенных плагинов для браузера, через электронные сообщения, с запуском генераторов ключей, «кряков», патчей и прочего пиратского ПО. Есть также вариант заражения от USB-флешки, если она побывала на заражённой машине.

Изъять зараженный компьютер из ботнета очень просто – достаточно отключить его от интернета. Однако в нынешнюю эпоху повсеместной интернетизации такой способ представляется крайне нежелательным: мало того, что это затруднит вам доступ к информации, ещё и нет гарантии, что вирус не подхватится от флешки. По-видимому, более оптимальный вариант – придерживаться некоторых правил во время работы в интернете. Во-первых, не работать на ПК с правами администратора, во-вторых, не загружать бездумно файлы, предлагаемые на различных сайтах, в-третьих, установить на ПК антивирус (а лучше – пакет класса Internet Security), использовать стойкие и сложные пароли. Наконец, очень осторожно относится к пиратскому ПО, особенно к различным генераторам ключей, взломщикам и т. д.

Зачем нужны ботнеты?

Необходимо понимать, что бот на ПК – это фактически шпион, который может отсылать с инфицированного компьютера пароли к различным сервисам, делать снимки экрана, выполнять поиск интересующих файлов с дальнейшим их удалением или закачкой на удалённый сервер. Кроме того, киберпреступники могут использовать бот-сети для рассылки спама, выполнения атак типа «отказ в обслуживании» (DDoS), и даже автоматического «нащёлкивания» по рекламным баннерам, что приносит прибыль мошенникам.

Важно отметить, что использование ботнетов далеко не всегда осуществляется владельцем сети: за её приобретение или аренду может заплатить какая-нибудь рекламная компания. Причем такое целенаправленное создание ботнетов на продажу является вполне прибыльным криминальным бизнесом.

Ботнет как армия киберроботов

Хотя в большинстве случаев бот-сети используются с целью коммерческой наживы, их можно использовать в качестве эффективного инструмента в кибервойнах в другими государствами, например, для организации мощных DDoS-атак и массированной рассылки спама.

В апреле 2007 года состоялась первая в мире кибератака против государства – небольшой прибалтийской страны Эстонии, отличающейся высоким уровнем интернетизации населения и развития интернет-сервисов е-правительства.

Кибератаки против веб-сайтов Эстонии начались 27-го апреля, вслед за массовыми беспорядками в Таллинне, вызванными переносом советского памятника «Бронзовый солдат». Первоначально атаки были направлены на веб-сайты президента Эстонии, премьер-министра, министерства иностранных дел, министерства юстиции и парламента. Вначале атаки являлись технически несложными и мало напоминали кибервойну, скорее — кибербунт. Однако политические мотивы таких атак и некоторые улики натолкнули множество экспертов на мысль, что эти атаки были организованы правительством России.

В первое время злоумышленники ограничились рассылкой спама и кибервандализмом (например, была искажена фотография премьер-министра Эстонии на вебсайте его партии). Однако 30-го апреля началась скоординированная атака DDoS (то есть, распределённая атака типа «отказ в обслуживании») с применением ботнетов. Самые разрушительные атаки продолжалась свыше десяти часов, обрушив несколько гигабит трафика на веб-ресурсы правительства Эстонии. DDoS-нападения достигли своей кульминации 9-го мая, после чего пошли на спад.

Как ни странно, не удалось обнаружить каких-либо достоверных улик, что эту кибератаку организовала Россия. Применение зомбии-компьютеров, которые были рассредоточены по всему миру, прокси-серверов и тактики спуфинга (использование чужого IP-адреса с целью обмана системы безопасности) чрезвычайно затрудняло определение с какой-либо долей уверенности происхождения атак. В то же время, есть косвенное доказательство связи с ними Москвы. Дело в том, что в кибернападение были вовлечены миллионы компьютеров. Аренда ботнетов для таких атак является дорогостоящим мероприятием. Более того, возникает вопрос: «Кому эти атаки выгодны?». Президент Эстонии высказал предположение, что зондирующий характер атак на конкретное правительство через анонимные прокси-серверы, отвечает образу действия режима Путина, тестирующего новое «оружие».

Спустя год мощная кибератака была проведена против Грузии. Хакеры, которые непосредственно отвечали за нанесение первого киберудара по Грузии, входили в группировку RBN (RussianBusinessNetwork), которая управлялась Александром Бойковым из Санкт-Петербурга. Также в этой атаке был задействован программист и спамер Андрей Смирнов. Эти люди возглавили секцию RBN, причем они занимались этим не из развлечения, в то же время они и не были «хактивистами» (напомним, что некоторые кибератаки на Грузию выполнялись именно хакерами-ативистами).

Александр Бойков к тому времени уже был хорошо известен в киберкриминальном мире, более всего — за распространение вредоноса VirusIsolator (который загружает трояны для контроля над компьютером-жертвой). Также он «прославился» рассылкой порно-спама, финансовыми преступлениями и управлением жульническими сайтами.

Смирнов тоже работал с жульническими порталами, в частности он владел сайтом по продаже медпрепаратов из Канады. Известно, что Смирнов придерживался нацистских взглядов и поддерживал блокирование поставок природного газа в Украину.

Кибератака началась следующим образом. Сначала Бойков разослал огромный объем спам-писем якобы от имени ВВС, в которых утверждалось, что президент Грузии – гей. Когда пользователь щёлкал по письму, на его ПК загружался вирус. Эту ботсеть начали формировать еще в 2006 году, однако основное число узлов добавилось в марте-апреле 2008 года. Дальнейшие расследование деятельности Бойкова и Смирнова показали, что в кибератаки были задействованы российские власти.

Если сопоставить происходившее в Эстонии и Грузии, то очень многое выглядело идентично, или как минимум очень похоже. В атаках на обе страны были использованы ботнеты, применяемые для мощных DDoS-атак. Но если в Эстонии вовремя отреагировали на кибератаки и они мало повлияли на жизнь обычных жителей, то в Грузии защита от них не была столь успешной. Например, в Эстонии были недоступны несколько часов интернет-услуги крупных банков, тогда как в Грузии эта остановка была более длительной.

Подводя итоги, можно сказать, что чем выше уровень «цифровизации» населения, тем больший вред могут нанести кибератаки. В то же время, государство и частный бизнес могут противостоять кибератакам, оперативно наращивая пропускную способность интернет-канала и блокируя DDoS-трафик. Но чтобы сделать это эффективно, необходимо заранее предпринять меры по кибербезопасности на государственном уровне.

Комментарии: