Ботнеты стали мощнейшим оружием киберпреступников, заменив собой точечные атаки. Хакеры полюбили их за возможность организовывать масштабные нападения. На смену направленным взломам пришли огромные сети, способные вести подрывную деятельность, близкую к террористической. Теперь ботнетами можно не только создать неудобства в работе рядовых пользователей, но и манипулировать целыми правительствами. Какие «красные кнопки» от интернета сейчас находятся в руках взломщиков и чем они могут быть опасны — в материале «Ленты.ру».
Больше, чем человек
Изначально ботнеты были придуманы в девяностые годы в качестве помощников администраторов. Они использовались для экономии времени в управлении централизованными сетями. Однако злоумышленники быстро смекнули, что связь нескольких машин можно обратить в свою пользу, тем более что такая схема довольно хрупка, ведь при потере связи с сервером теряется и связь с ботами.
Сейчас распространены два вида бот-сетей: модель «клиент-сервер», где боты помогают обрабатывать управляющие команды, и пиринговая, в которой каждый клиент выполняет также функции сервера (то есть боты подключены друг к другу). Во втором случае автономное ПО само ищет «единомышленников» и связывается с ними, и именно такие ботнеты получили широкое распространение.
Заражение происходит через установку на компьютеры различных вредных алгоритмов. Это могут быть вирусы, которые притворяются полезными программами, или же эксплоиты, использующие уязвимости в системе. «Поумнев», ботнеты стали маскироваться, чтобы избежать удаления: как и другие вредные механизмы, они притворяются системными процессами и используют непривычные методы автозапуска.
Такие сети, называемые «зомби» из-за тотального подчинения владельцам-«пастухам», могут выполнять любые функции, которые им навяжут злоумышленники. К примеру, традиционные сети, состоящие из скомпрометированных компьютеров и серверов, используются для краж информации и спам-рассылок. Так по миру распространяются вирусы, в том числе программы-вымогатели. Одна сеть может годами кормить целую группировку хакеров.
В последние годы ботнеты сильно эволюционировали. Помимо традиционных компьютерно-серверных сетей, появились «зомби» интернета вещей: армии взломанных устройств, способных на масштабные DDoS-атаки. Заразив несколько умных тостеров, кондиционеров, чайников и роутеров, злоумышленники с каждой минутой расширяют свою сферу влияния: устройства IoT (Internet of Things) сами захватывают для них своих собратьев. В то время как привычная сеть может состоять максимум из десятков тысяч машин, «вещевая» же — из сотен тысяч или миллионов устройств. К тому же подобные гаджеты, как правило, постоянно включены и функционируют.
На руку злоумышленникам играет мода на такие девайсы. Уже сейчас подключенных к интернету интеллектуальных механизмов много больше, чем людей на всем земном шаре, имеющих доступ к сети. По оценкам экспертов, к 2020 году число умных устройств превысит 20 миллиардов. Киберпреступники же только этого и ждут.
Ботнет без смс и регистрации
Масштабные DDoS-атаки требуют огромного количества «зомбированных» устройств. Тогда злоумышленники добиваются отказа в обслуживании DNS-сервера, захватывая его системы и превышая лимит пропускания данных. То есть множество устройств посылает на определенный сервер огромное количество запросов (как правило, это бессмысленный набор данных), и он не выдерживает такого напора. Потенциально провайдеры могли бы блокировать гигантские объемы исходящего трафика. Однако этому мешает существование в мире огромного количества некорректно сконфигурированных серверов, которые имеют большую пропускную способность.
Кажется, что такие объемы трафика невозможно не заметить, а потому и ботнет-атаки должны отражаться очень эффективно. Однако на деле это не так. Об успешно организованных крупных DDoS-нападениях известно с 2012 года, когда хакерская группировка Anonymous совершила серию атак на корневые серверы в попытке вывести из строя весь интернет в целом.
В 2016 году мир был шокирован мощностью ботнета Mirai, состоящего из почти полумиллиона устройств. Тогда его жертвами пали серверы хостеров OVN и Dyn, сервисы Netflix, Twitter, Airbnb, Reddit, Amazon и Ebay, а также сайты крупных СМИ. Без интернета осталось все восточное побережье США. Через несколько дней зомби-сеть, названная Shadows Kill, захватила устройства, подконтрольные Mirai, и совершила еще одну атаку, отключив от мировой сети государство Либерия. Сам Mirai в конце года оставил без связи почти миллион жителей Германии. Все эти атаки стали рекламной кампанией авторства группы хакеров: они предлагали частично арендовать ботнет по сходной цене (600 тысяч «зомбированных» девайсов обошлись бы новому «пастуху» всего в 20 тысяч долларов).
Основной актив ботнета — умные приборы с заводскими настройками, запароленные стандартными комбинациями символов. Схема их взлома практически автоматизирована. Несмотря на арест администратора зомби-сети и поимку ее создателей, их дело продолжает жить. Эксперты были уверены, что публикация кода ботнета приведет к его ослаблению, однако он проявил живучесть биологического вируса, усложняясь и модифицируясь.
Последняя опасная разработка злоумышленников — превращение зараженного интеллектуального гаджета в прокси-сервер. Это в разы усиливает мощность атак, так как позволяет пропускать через девайсы вредоносный трафик. При прежней мощности «основного» Mirai в обороте 660 гигабит в секунду, такие оценки действительно пугают.
Следы этого мощнейщего кибероружия уже проникли во множество вредных кодов и стали базой для некоторых ботнетов. К примеру, одиозный алгоритм был замечен в программе-майнере, атакующей гаджеты на Android.
Фильтруй
В конце мая 2018 года компания Cisco Talos опубликовала незавершенное исследование новейшего ботнета VPNFilter. Катализатором стало слишком быстрое распространение заражения по планете: за минимальное время была захвачена сетевая аппаратура пользователей из более чем 50 стран. В роутерах брендов Linksys, MikroTik, Netgear, QNAP и TP-LINK были найдены критические уязвимости, так что хакеры сумели не только перехватывать трафик пользователей, но и управлять устройствами, вплоть до полного выведения из строя. Позднее специалисты расширили список уязвимых устройств: в их число попали также маршрутизаторы от ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE. В алгоритме заражения злоумышленники использовали уже известные эксплоиты, а не уязвимости нулевого дня. Жертвы исчислялись сотнями тысяч, под удар подпала сетевая инфраструктура Украины.
Исследователи из департамента кибербезопасности компании Talos углядели в коде вредного ПО следы алгоритма BlackEnergy, авторство которого приписывается мощной группировке Fancy Bear. ФБР уверяет, что это дело рук хакеров российского происхождения.
ФБР поспешило порекомендовать пострадавшим поступить буквально хрестоматийно: выключить и снова включить устройство. Однако вредный код стал вторым «бессмертным» могильщиком устройств интернета вещей: он сохраняется на гаджете даже после его перезагрузки. Бот VPNFilter форматирует под себя некоторые фрагменты прошивки, после чего рядовой пользователь не может его устранить. Единственным выходом для владельцев некоторых моделей может стать обновление «родного» ПО, смена пароля и отключение от удаленного администрирования.
Живучесть VPNFilter поражает даже специалистов: несмотря на перехват американскими силовиками контроля над управляющим сервером, недавно ботнет вновь попытался вернуть себе былую мощь. Оказалось, злоумышленники продолжили поиск маршрутизаторов MikroTik с открытым портом 2000, сделав своей целью украинские устройства, — для них даже был разработан специальный командно-контрольный сервер.
Ключевую роль в расследовании этого преступления играет ФБР: они изъяли доменное имя toknowall.com, якобы использующееся для перенаправления запросов первого этапа установки вируса. Как хакеры планируют использовать более полумиллиона зараженных роутеров, пока неизвестно.
Уязвимости в роутерах стали любимой лазейкой злоумышленников. Недавно исследователи из китайской компании Qihoo 360 Netlab обнаружили, что единственный эксплоит маршрутизаторов стандарта GPON делает их жертвой сразу пяти мощных ботнетов. Среди них — пресловутый Mirai в новых модификациях, а также Satori Botnet, поразивший в прошлом году 260 тысяч устройств за 12 часов с помощью эксплуатации уязвимости «нулевого дня», и Hajime Botnet с армией в 300 тысяч умных гаджетов.
Выручи деньгами
В последние годы участились случаи захвата устройств и их зомбирования ради виртуального заработка. Злоумышленники подчиняют себе гаджеты, которые заставляют майнить криптовалюту. В начале лета 2018 года специалисты в области кибербезопасности организации GuardiCore обнаружили гигантскую ботсеть, названную Prowli, которая использовалась злоумышленниками для обогащения.
По предварительным оценкам, число жертв превышает 40 тысяч, при этом было скомпрометировано более 9 тысяч различных компаний. С помощью грубых направленных атак, эксплуатирующих уязвимости, ботнет захватывал как веб-серверы, так и устройства интернета вещей. В список жертв Prowli попали сайты WordPress, серверы с HP Data Protector и DSL-модемы.
После установления контроля вредоносная программа анализировала захваченную площадку и определяла, какую роль данная жертва может занять в рабочей схеме злоумышленников. Чаще всего за этим следовала установки майнера криптовалюты Monero и вируса r2r2, — это позволяло подключить устройство к агрессивной армии гаджетов-захватчиков, расширяющих сеть. Веб-страницы использовались для переадресации на вредоносные порталы, предлагающие фальшивые обновления или техподдержку.
Добыча криптовалюты (наравне с вымогательством) входит также в функционал новейшего ботнета MyloBot, который в конце июня обнаружили специалисты компании Deep Instinct. Эта зомби-сеть отличается не только живучестью, но и широким спектром действий, направленных на Windows-устройства. При этом сразу после заражения алгоритм затаивается на 14 дней, ничего не предпринимая, чтобы никто не смог заподозрить захват устройства.
Программное обеспечение анализирует подконтрольную машину и удаляет с нее вредные программы-конкуренты, а затем скрытно разворачивает свой спектр деятельности, включающий выполнение exe-файлов без их загрузки на диск. Анализ сети MyloBot показал, что сервер управления данным ботнетом уже использовался в различных хакерских кампаниях, авторы и участники которых общались на специализированных форумах в даркнете.
Однако иногда операторы ботнета все-таки промахиваются. И такие ошибки не всегда идут на пользу пострадавших от их рук. Недавно из-за ошибки администраторов спам-ботнета Trik в общий доступ попали 43,5 миллиона уникальных адресов электронной почты, — злоумышленники некорректно сконфигурировали сервер, поэтому списки рассылки сети разлетелись открытыми. В подборке оказались не только личные почтовые адреса пользователей, но даже электронные ящики в государственных доменных зонах — к примеру, gov.
Ботсеть Trik занималась распространением одноименного трояна, киберпреступники использовали ее как площадку для рассылок или продавали под распространение новых вирусов. Такие услуги операторы зомби-сетей нередко предоставляют желающим за определенную плату.
Крупнейшим мировым спамерским ботнетом сейчас является сеть Necurs — в ее активе более шести миллионов зараженных единиц. Впервые его активность была зафиксирована еще в 2012 году, и с тех пор Necurs только увеличивает свое влияние, постоянно меняя стратегию нападений. Если в 2017 году алгоритм был заточен под распространение вирусов-шифровальщиков (к примеру, Scarab, который за несколько часов попытался атаковать почти 13 миллионов пользователей: под видом отсканированных документов юзеры открывали программу-вымогатель, против которой IT-специалисты были бессильны), а в начале 2018 обманывал жертв фальшивыми иконками файлов, то теперь злоумышленники используют «неуловимые» для антиспам-сервисов IQY-файлы. Замаскированные под торговые предложения, документы при открытии подгружают данные из сети, которые проводят так называемую «бесфайловую» атаку. В итоге пользователь получает на свое устройство бэкдор, который позволяет хакерам удаленно управлять гаджетом.
Заплати мной
Распространению ботнет-преступлений способствует интерес пользователей. Анонимные хакеры или организованные группировки, создающие вредоносное ПО, могли бы быть одиночками в этом бою с мировой сетью, однако спрос на организацию DDoS-атак и захват сетей огромен.
Весной 2018 года Европол при поддержке Национального криминального агентства Великобритании закрыл портал webstresser.org, называемый крупнейшим сервисом для массированных нападений. На этом сайте преступники могли заказать атаку на любой сервер: правоохранительные органы Соединенного Королевства уверены, что именно там был скоординирован DDoS крупнейших банков страны. Webstresser мог арендовать всего за 15 долларов даже технически неграмотный пользователь.
Шесть человек, якобы причастных к созданию портала, были арестованы. Однако огромное количество создателей мощного кибероружия находится на свободе, используя для координации своих действий и продажи услуг темный интернет. За оплату в биткоинах можно приобрести пакет, включающий техническое сопровождение и консультации по проведению ботнет-атак, на срок от нескольких часов до десятилетия.
Британская компания Armor провела анализ цен на черном рынке интернет-услуг и выяснила, что часовая обширная DDoS-атака обойдется желающим всего в десять долларов. Для более крупных заказчиков предусмотрена система скидок: цена на недельное нападение колеблется между 500 и 1200 долларами в зависимости от подрядчика. А вот сам ботнет можно приобрести по подписке: базовая комплектация оценивается в 900 долларов, расширенная — в 1350.
Зомби-сети ботнетов превратились в разнообразный и эффективный способ заработка киберпреступников. С их помощью можно нарушать работу сети и распространять вредное программное обеспечение, способное не только испортить жизнь жертвы, заблокировав ее данные или устройство в целом, но и заработать деньги в пользу злоумышленников — вымогательством или майнингом. Практические сложности в раскрытии подобных преступлений лишь усиливают ажиотаж вокруг явления. Пока остаются те, кто готов платить за атаки и взломы, ботнеты будут лишь прогрессировать и развиваться.