Sieci botnet: dochodowy interes
2008-07-30 12:59
Scentralizowana topologia (C&C) © fot. mat. prasowe
Kaspersky Lab, producent rozwiązań do ochrony danych, opublikował artykuł zatytułowany "Biznes botnetowy" autorstwa starszego analityka wirusów Witalija Kamluka. Artykuł opisuje, w jaki sposób tworzone są i obsługiwane botnety (znane również jako sieci zombie), które stanowią obecnie jedno z najpoważniejszych zagrożeń bezpieczeństwa IT. Jest to pierwszy z serii artykułów dotyczących botnetów.
Przeczytaj także: Komputer zombie - zagrożenie nie tylko w Halloween
Co to jest botnet?Botnet to sieć komputerów złożona z maszyn zainfekowanych szkodliwym backdoorem. Backdoor umożliwia cyberprzestępcom zdalną kontrolę nad zainfekowanymi komputerami (może to oznaczać kontrolowanie pojedynczej maszyny, niektórych komputerów tworzących sieć lub całą sieć).
Botami nazywamy szkodliwe backdoory stworzone po to, aby mogły zostać użyte do budowania botnetów. Właściciel botnetu może kontrolować komputery tworzące sieć z dowolnego miejsca na świecie - z innego miasta, państwa, a nawet kontynentu. Internet jest skonstruowany w taki sposób, że możliwe jest kontrolowanie botnetu anonimowo.
Komputery zainfekowane botem mogą być kontrolowane bezpośrednio albo pośrednio. W przypadku pośredniej kontroli, cyberprzestępca ustanawia połączenie z zainfekowaną maszyną i zarządza nią za pomocą wbudowanych do programu bota poleceń. W przypadku bezpośredniej kontroli, bot łączy się z centrum kontroli lub z innymi maszynami w sieci, wysyła żądanie, a następnie wykonuje zwrócone polecenie.
Właściciel zainfekowanej maszyny zwykle nawet nie podejrzewa, że komputer jest wykorzystywany przez cyberprzestępców. To dlatego komputery zainfekowane botem i potajemnie kontrolowane przez cyberprzestępców nazywane są również zombie. Sieci złożone z zainfekowanych maszyn określane są jako sieci zombie. Większość maszyn zombie to komputery PC użytkowników domowych.
W jaki sposób wykorzystywane są botnety?
Wysyłanie spamu. Jest to najpowszechniejszy, a zarazem najprostszy sposób wykorzystywania botnetów. Eksperci szacują, że ponad 80% spamu wysyłają komputery zombie. Należy zauważyć, że spam nie zawsze jest wysyłany przez właścicieli botnetów: spamerzy często wypożyczają botnety.
Spamerzy znają prawdziwą wartość botnetów. Według danych Kaspersky Lab, przeciętny spamer zarabia 50 000 – 100 000 dolarów rocznie. Botnety złożone z tysięcy komputerów pozwalają spamerom w ciągu bardzo krótkiego czasu wysłać z zainfekowanych maszyn miliony wiadomości. Oprócz prędkości i ilości spamu, jaki może zostać wysłany, botnety dają spamerom jeszcze jedną korzyść. Adresy wykorzystywane do wysyłania spamu często zamieszczane są na czarnych listach, a wiadomości przychodzące z tych adresów są blokowane lub automatycznie oflagowywane przez serwery pocztowe jako spam. Jednak spamerzy mogą obejść ten problem wysyłając spam z setek tysięcy adresów e-mail ("pożyczonych" od właścicieli maszyn zombie).
Kolejną korzyścią, jaką dają botnety spamerom, jest możliwość przechwycenia adresów e-mail z zainfekowanych komputerów. Skradzione adresy są sprzedawane spamerom lub wykorzystywane przez właścicieli botnetów do rozsyłania spamu. Rosnący botnet będzie dodawał coraz więcej nowych adresów do swojego zbioru.
Szantaż. Drugą pod względem popularności metodą zarabiania pieniędzy za pośrednictwem botnetów jest wykorzystywanie dziesiątek lub nawet setek tysięcy komputerów do przeprowadzania ataków DDoS (Distributed Denial of Service). Polega to na wysyłaniu strumienia fałszywych żądań z maszyn zainfekowanych botem na atakowany serwer sieciowy. W rezultacie, serwer zostanie przeciążony i będzie niedostępny. W zamian za powstrzymania ataku cyberprzestępcy żądają zwykle pieniędzy od właściciela serwera.
Obecnie wiele firm pracuje wyłącznie z wykorzystaniem Internetu. Wyłączone serwery powodują przestoje w biznesie, przynosząc straty finansowe. Aby możliwe najszybciej przywrócić stabilność serwerom, takie firmy będą wolały ulec szantażowi niż poprosić o pomoc policję. Dokładnie na to liczą cyberprzestępcy. Z tego powodu również ataki DDoS stają się coraz bardziej rozpowszechnione.
Ataki DDoS mogą być również wykorzystywane jako narzędzie polityczne. Celem tych ataków są zwykle serwery organizacji rządowych. Są one szczególnie niebezpieczne, ponieważ mogą być wykorzystywane do prowokacji. Cyberatak na jedno państwo przeprowadzany jest z serwerów zlokalizowanych w drugim państwie, natomiast kontrolowany jest z trzeciego państwa.
Przeczytaj także:
Trend Micro: czym są sieci botnet?
oprac. : eGospodarka.pl
Więcej na ten temat:
boty, bot, botnet, IRCbot, program dla hakerów, sieci zombie, ataki DDoS, komputery zombie, backdoor