Co to jest botnet?
Botnet to sieć połączonych ze sobą zainfekowanych urządzeń ze stałym dostępem do internetu. Mogą to być komputery, telefony czy routery. Pojedyncze urządzenie potocznie nazywane jest komputerem zombie. Poprzez złośliwe oprogramowanie (najczęściej trojan), haker uzyskuje dostęp do wspomnianych urządzeń, dzięki czemu może przeprowadzić atak DDoS (Distributed Denial of Service), zaszyfrować lub ukraść dane, a od niedawna nawet kopać kryptowaluty. Komunikacja w sieci botnet odbywa się za pomocą znanych protokołów takich jak HTTP, DNS czy Telnet i może być realizowana z wykorzystaniem sieci takich jak ToR (The Onion Router) czy P2P (peer-to-peer). Wykrycie botnetu jest trudne, ponieważ prawowity właściciel urządzeń nie jest świadomy faktu, że stał się jego częścią.
Ataki DDoS przez botnet
Jednym z największych niebezpieczeństw, które mogą być skutkiem zainfekowania przez sieć botnet jest atak DDoS. Taki atak ma na celu zniszczenie całej infrastruktury sieci. Może to utrudnić, a nawet uniemożliwić korzystanie ze strony internetowej lub aplikacji atakowanej firmy. Aby atak DDoS się powiódł, haker potrzebuje setki, jak nie tysiące komputerów zombie (w dużych ilościach nazywane armią komputerów zombie, ang. botnet zombie army), które przeciążają serwery, spowalniając lub całkowicie zamrażając daną usługę.
Przykładowe ataki botnet – Atak Mafiaboya i Operacja Payback
Pierwszym atakiem DDoS z użyciem botnetu na dużą skalę był atak Mafiaboya na serwery Yahoo!, eBaya, CNN i Amazona w 2000 roku. Haker przeszukiwał sieć w celu znalezienia podatnych hostów. Wykorzystując wykryte luki, wgrywał szkodliwe oprogramowanie, które zmieniało hosty w komputery zombie. Malware miał potem szukać takich samych luk i powtarzać proces.
Przez ten atak młody, bo piętnastoletni Kanadyjczyk zamroził serwery wspomnianych firm na wiele godzin, powodując ogromne straty. Ruch na stronach CNN spadł o 95 %, natomiast Yahoo! straciło ponad 500 tysięcy dolarów. Atak ten odbił się szerokim echem w mediach, zwracając uwagę na ogromne niebezpieczeństwo związane z atakami DDoS i botnetem.
Z ataków DDoS słynie grupa Anonymous. W 2010 przeprowadziła Operację Payback, atakując serwery PayPala, Amazona, a także Mastercard i Visy. Armia komputerów zombie wysyłała zapytania do serwerów firm z prędkością nawet 100Gb/s. Dla porównania średnia prędkość internetu w Polsce na rok 2021 to 77Mb/s, czyli 1300 razy mniej. Atak spowodował zamrożenie usług i stron wszystkich poszkodowanych przedsiębiorstw.
Jak bronić się przed atakami botnet?
Skuteczna ochrona przed wcieleniem do armii botnetu musi być realizowana na wielu płaszczyznach. Należy zadbać o zabezpieczenie środowiska na styku sieci z internetem poprzez zastosowanie nowoczesnych rozwiązań klasy UTM takich jak FortiGate, który za pomocą wyrafinowanych mechanizmów zabezpieczających będzie w stanie wykryć i zablokować komunikację C&C (Command and Control), która jest podstawą funkcjonowania sieci botnet.
Nie można także zapomnieć o bezpieczeństwie punktów końcowych realizowanym z pomocą skutecznego oprogramowania antywirusowego, takiego jak CylancePROTECT, które będzie w stanie zapobiec instalacji oprogramowania związanego z botnet.
Nie bez znaczenia pozostaje także podnoszenie świadomości pracowników swojej organizacji w zakresie bezpieczeństwa i dbałość o aktualizowanie środowiska IT. Wektorem infekcji komputera prowadzącym ostatecznie do dołączenia do botnetu może być bowiem zarówno nieaktualne oprogramowanie, kliknięcie linku rozsyłanego w ramach kampanii phishingowej jak również plik skopiowany z nośnika USB kolegi z pracy.
