Cyfrowe żywe trupy. Dlaczego musisz obawiać się botnetu

Armie zombie występują nie tylko w apokaliptycznych wizjach popkultury. Często są podstawą wielu potężnych ataków hakerskich. Oczywiście nie są to żywe trupy, tylko zainfekowane komputery, slangowo określane tym mianem.

Opisywaliśmy sprawę cyberprzestępcy "Thomasa" bądź "Armegedd0na" – wyjątkowo nieudolnego hakera, który mimo publicznych przechwałek dla policji pozostawał nieuchwytny przez blisko sześć lat. Haker wsławił się m.in. podszywaniem pod firmę Kaspersky czy serwis Allegro. Wysyłając fałszywe maile, próbował zarazić komputery użytkowników programem, który pozwalałby na zdalną kontrolę nad nimi. Tak właśnie miała powstać sieć, zwana botnet.

Jednak z własnej głupoty ją utracił – haker, od którego kupił oprogramowanie, przeprowadzał się na szybszy serwer. To wiązało się ze zmianą IP. Wszystko byłoby ok, ale nadwiślański haker nie korzystał z dynamicznego adresu serwera DNS, który pozwoliłby mu zachować kontrolę nad botnetem po zmianie IP serwera.

To był potężny cios dla naszego cyberprzestępcy – botnet to bowiem sól ziemi, jeśli chodzi o nielegalne praktyki w sieci. Hakerzy zdalnie przejmują duże skupiska urządzeń, tworząc jedną wielką "chmurę" do wykonywania raczej nie do końca legalnych operacji.

Jakich konkretnie? Można na przykład wykorzystać moc obliczeniową zainfekowanych komputerów do kopania kryptowalut. Albo zmusić komputery do ataku typu DDoS – wtedy będą wysyłać sygnał do serwera ofiar, blokując przepustowość jej łącza.

Na tym jednak nie kończą się możliwości botnetu. Gromadzi on dane osobiste zawierające hasła, numery ubezpieczeń społecznych, szczegóły kart kredytowych, adresy i numery telefonów. Później można je wykorzystane w przestępstwach takich jak kradzież tożsamości, oszustw czy rozsyłania spamu. Botnety mogą także zostać użyte do przeprowadzenia ataków na konkretne strony i sieci.

W 2007 roku ofiarą botnetu została polska policja. Jej oficjalną witrynę zaatakowano, co miało być rzekomo odwetem na naloty na potencjalnych cyberprzestępców. To nie była jednak najbardziej spektakularna akcja.

Masz newsa, zdjęcie lub filmik? Prześlij nam przez dziejesie.wp.pl

W 2015 roku głośno zrobiło się o botnecie Simda, który zainfekował ponad 770 000 komputerów w ponad 190 krajach. Najwięcej urządzeń padło ofiarą w takich krajach, jak Stany Zjednoczone, Wielka Brytania, Turcja, Kanada i Rosja. Simda była tak zwanym botnetem sprzedającym. Używano go do dystrybucji nielegalnego i szkodliwego oprogramowania, włącznie z tym zdolnym do wykradania danych finansowych. Twórcy określonych szkodliwych programów płacili właścicielom Simda za każdą jedną instalację. W końcu o to chodzi – sprzęt musi na siebie zarabiać.

Właściciele telefonów też nie powinni czuć się za pewnie. W 2016 roku Kaspersky Lab wykryło Ztorga – reklamowego botneta, który zainfekował blisko milion urządzeń. Szkodnik łączył się ze swoim serwerem i przesyłał dane dotyczących zainfekowanego sprzętu, nawet o państwie, języku, modelu urządzenia oraz wersji systemu operacyjnego.

Po przesłaniu wszystkich danych Ztorg pobiera dodatkowy moduł, który stosuje kilka pakietów exploitów (narzędzia wykorzystujące luki w zabezpieczeniach) w celu uzyskania przywilejów na poziomie administratora zainfekowanego urządzenia. Teraz zaczyna się ciekawie, bo dzięki nim trojan może przetrwać na urządzeniu bardzo długo i robić to, do czego został stworzony: wyświetlać niechciane reklamy oraz ukradkowo instalować dodatkowe aplikacje. To już standard, że szkodliwe oprogramowanie pisze się pod wszystko, na czym jest chociaż jedna istotna informacja o nas.

Czy istnieje jednak sposób, by radzić sobie z botnetami? Piotr Kupczyk z Kaspersky Lab Polska zauważa, że obserwacja i profilaktyka to jak zwykle najbardziej pewne narzędzia.

- Najbardziej ogólna rekomendacja jest stosunkowo prosta: instalujemy program antywirusowy i skanujemy system. Można też zauważyć że coś jest nie tak po drastycznym spadku wydajności. Wiele zależy od rodzaju botnetu, którym zostaliśmy zainfekowani: te do ataków DDoS ciężej obciążają procesor od tych do wysyłania spamu. To wielka rodzina szkodliwych programów – opisuje w rozmowie z WP Tech. - Do tego bardzo łatwo go kupić w forach w Deep Web lub po prostu zamówić. Pamiętajmy, że tworzone są poszczególne narzędzia, które służą jednak do tego, by zwalczać konkretne botnety. Każdy ma inny cel, ale można ustrzec się przed zainfekowaniem – podkreśla.

Wydajność wygodnie sprawdzimy w menadżerze zadań

Podobnie sytuacja ma się z telefonami Android. Dobry antywirus, sprawdzanie, czy telefon się nie przegrzewa bądź nie chodzi za wolno oraz kopia zapasowa i gotowość do zresetowania do ustawień fabrycznych są sposobami na to, by urządzenie mobilne nie zostało przejęte przez cyberprzestępców. Ostatni punkt niestety tyczy się również komputerów. W przypadku zamiany zombie nie musimy strzelać mu w proces, ale bez formatowania i reinstalacji systemu się nie obejdzie. Metoda ta daje największą pewność.

A co jeśli sami chcemy się pobawić w hakerów i mieć własnego botneta? Przedstawiciel Kaspersky Lab Polska wspominał, że można kupić coś takiego bez problemu. Sprawdziliśmy to i faktycznie, znalezienie oferty nie jest takie trudne.

Potrzebujemy tylko odpowiedniej przeglądarki, adresu do czarnorynkowego marketu Silk Road i jesteśmy w domu. Znalezienie oferty na botneta na Androida zajęło mi pięć minut, włącznie z pobraniem programu.

Za 25 bitcoinów (prawie 800 tysięcy złotych) możemy kupić program, który pozwoli nam na przechwycenie wszystkich wrażliwych danych z zainfekowanego smartfonu. Aplikacje bankowe, społecznościowe, wysyłanie SMS-ów bez wiedzy użytkownika do weryfikacji, nawet blokada w celach ransomware – to tylko fragment funkcjonalności. Nie dziwna, że osiąga tak zawrotną cenę.