О ботнетах сейчас много говорят производители антивирусного программного обеспечения. Пишут в ИТ-новостях и спорят обычные пользователи ПК. Время от времени в СМИ появляется информация об обезвреживан
Ботнет (botnet – сокращение от roBOTNETwork) представляет
собой сеть компьютеров, зараженных вредоносным кодом, который позволяет
преступным группировкам удаленно управлять «инфицированными» машинами без
ведома пользователя. При этом бот – это вредоносная программа, которая
внедряется на ПК и предоставляет функции удаленного управления
киберпреступникам, а сам зараженный компьютер превращается в «зомби».
Компьютер, который управляет ботнетом, называется центром управления. Правда,
чтобы не размещать в одном месте управление большим ботнетом, злоумышленники
дробят его на несколько более мелких, на случай, если один из них выйдет по
каким-либо причинам из строя. В некоторые ботнеты входит только несколько сотен
компьютеров, тогда как в другие — десятки или даже сотни тысяч
компьютеров-зомби.
Примечательно, что разработчики ботов стараются сделать
так, чтобы эти вредоносные программы долгое время не выдавали своего присутствия
на ПК. Поэтому многие владельцы инфицированных компьютеров не подозревают о
заражении. Среди подозрительных признаков может быть разве что замедление
работы системы, появление странных сообщений, иногда может случиться сбой. В то
же время, в случае обнаружения Интернет-провайдером фактов распространения из
инфицированного ПК вредоносного программного обеспечения, спама или массового
DDoS-трафика, провайдер может отключить ваш ПК от Сети.
Боты проникают на чужие компьютеры несколькими способами.
Чаще всего они распространяются через сомнительные веб-сайты, при загрузке
непроверенных плагинов для браузера, через электронные сообщения, с запуском
генераторов ключей, «кряков», патчей и прочего пиратского ПО. Есть также
вариант заражения от USB-флешки, если она побывала на заражённой машине.
Изъять зараженный
компьютер из ботнета очень просто – достаточно отключить его от интернета.
Однако в нынешнюю эпоху повсеместной интернетизации такой способ представляется
крайне нежелательным: мало того, что это затруднит вам доступ к информации, ещё
и нет гарантии, что вирус не подхватится от флешки. По-видимому, более
оптимальный вариант – придерживаться некоторых правил во время работы в
интернете. Во-первых, не работать на ПК с правами администратора, во-вторых, не
загружать бездумно файлы, предлагаемые на различных сайтах, в-третьих,
установить на ПК антивирус (а лучше – пакет класса Internet Security),
использовать стойкие и сложные пароли. Наконец, очень осторожно относится к
пиратскому ПО, особенно к различным генераторам ключей, взломщикам и т. д.
Зачем нужны ботнеты?
Необходимо понимать, что бот
на ПК – это фактически шпион, который может отсылать с инфицированного
компьютера пароли к различным сервисам, делать снимки экрана, выполнять поиск
интересующих файлов с дальнейшим их удалением или закачкой на удалённый сервер.
Кроме того, киберпреступники могут использовать бот-сети для рассылки спама,
выполнения атак типа «отказ в обслуживании» (DDoS), и даже автоматического
«нащёлкивания» по рекламным баннерам, что приносит прибыль мошенникам.
Важно отметить, что использование ботнетов далеко не
всегда осуществляется владельцем сети: за её приобретение или аренду может
заплатить какая-нибудь рекламная компания. Причем такое целенаправленное
создание ботнетов на продажу является вполне прибыльным криминальным бизнесом.
Ботнет как армия киберроботов
Хотя в большинстве случаев
бот-сети используются с целью коммерческой наживы, их можно использовать в
качестве эффективного инструмента в кибервойнах в другими государствами,
например, для организации мощных DDoS-атак и массированной рассылки спама.
В апреле 2007 года состоялась первая в мире кибератака
против государства – небольшой прибалтийской страны Эстонии, отличающейся
высоким уровнем интернетизации населения и развития интернет-сервисов
е-правительства.
Кибератаки против веб-сайтов Эстонии начались 27-го
апреля, вслед за массовыми беспорядками в Таллинне, вызванными переносом
советского памятника «Бронзовый солдат». Первоначально атаки были направлены на
веб-сайты президента Эстонии, премьер-министра, министерства иностранных дел,
министерства юстиции и парламента. Вначале атаки являлись технически несложными
и мало напоминали кибервойну, скорее — кибербунт. Однако политические мотивы
таких атак и некоторые улики натолкнули множество экспертов на мысль, что эти
атаки были организованы правительством России.
В первое время злоумышленники ограничились рассылкой
спама и кибервандализмом (например, была искажена фотография премьер-министра
Эстонии на вебсайте его партии). Однако 30-го апреля началась скоординированная
атака DDoS (то есть, распределённая атака типа «отказ в обслуживании») с применением
ботнетов. Самые разрушительные атаки продолжалась свыше десяти часов, обрушив
несколько гигабит трафика на веб-ресурсы правительства Эстонии. DDoS-нападения
достигли своей кульминации 9-го мая, после чего пошли на спад.
Как ни странно, не удалось обнаружить каких-либо
достоверных улик, что эту кибератаку организовала Россия. Применение
зомбии-компьютеров, которые были рассредоточены по всему миру, прокси-серверов
и тактики спуфинга (использование чужого IP-адреса с целью обмана системы
безопасности) чрезвычайно затрудняло определение с какой-либо долей уверенности
происхождения атак. В то же время, есть косвенное доказательство связи с ними
Москвы. Дело в том, что в кибернападение были вовлечены миллионы компьютеров.
Аренда ботнетов для таких атак является дорогостоящим мероприятием. Более того,
возникает вопрос: «Кому эти атаки выгодны?». Президент Эстонии высказал
предположение, что зондирующий характер атак на конкретное правительство через
анонимные прокси-серверы, отвечает образу действия режима Путина, тестирующего
новое «оружие».
Спустя год мощная кибератака была проведена против
Грузии. Хакеры, которые непосредственно отвечали за нанесение первого
киберудара по Грузии, входили в группировку RBN (RussianBusinessNetwork),
которая управлялась Александром Бойковым из Санкт-Петербурга. Также в этой
атаке был задействован программист и спамер Андрей Смирнов. Эти люди возглавили
секцию RBN, причем они занимались этим не из развлечения, в то же время они и
не были «хактивистами» (напомним, что некоторые кибератаки на Грузию
выполнялись именно хакерами-ативистами).
Александр Бойков к тому времени уже был хорошо известен в
киберкриминальном мире, более всего — за распространение вредоноса
VirusIsolator (который загружает трояны для контроля над компьютером-жертвой).
Также он «прославился» рассылкой порно-спама, финансовыми преступлениями и
управлением жульническими сайтами.
Смирнов тоже работал с жульническими порталами, в
частности он владел сайтом по продаже медпрепаратов из Канады. Известно, что
Смирнов придерживался нацистских взглядов и поддерживал блокирование поставок
природного газа в Украину.
Кибератака началась следующим образом. Сначала Бойков
разослал огромный объем спам-писем якобы от имени ВВС, в которых утверждалось,
что президент Грузии – гей. Когда пользователь щёлкал по письму, на его ПК
загружался вирус. Эту ботсеть начали формировать еще в 2006 году, однако
основное число узлов добавилось в марте-апреле 2008 года. Дальнейшие
расследование деятельности Бойкова и Смирнова показали, что в кибератаки были
задействованы российские власти.
Если сопоставить происходившее в Эстонии и Грузии, то
очень многое выглядело идентично, или как минимум очень похоже. В атаках на обе
страны были использованы ботнеты, применяемые для мощных DDoS-атак. Но если в
Эстонии вовремя отреагировали на кибератаки и они мало повлияли на жизнь
обычных жителей, то в Грузии защита от них не была столь успешной. Например, в
Эстонии были недоступны несколько часов интернет-услуги крупных банков, тогда
как в Грузии эта остановка была более длительной.
Подводя итоги, можно сказать, что чем выше уровень
«цифровизации» населения, тем больший вред могут нанести кибератаки. В то же
время, государство и частный бизнес могут противостоять кибератакам, оперативно
наращивая пропускную способность интернет-канала и блокируя DDoS-трафик. Но
чтобы сделать это эффективно, необходимо заранее предпринять меры по
кибербезопасности на государственном уровне.
Рубрика "Блоги читачів" є майданчиком вільної журналістики та не модерується редакцією. Користувачі самостійно завантажують свої матеріали на сайт. Редакція не поділяє позицію блогерів та не відповідає за достовірність викладених ними фактів.