OPIS I ZASTOSOWANIE BOTNETÓW

Botnet to sieć zainfekowanych komputerów będących pod kontrolą przestępców.
Rozpowszechnione przez cyberprzestępców złośliwe oprogramowanie może zmienić komputer ofiary w tzw. bot (lub inaczej zombie). Słowo bot oznacza program, który wykonuje zadania automatycznie. Wówczas stacja robocza może być kontrolowana przez hakerów. Wiele tak zainfekowanych komputerów tworzy sieć zwaną botnetem. Zjawisko to dotyczy wszystkich typów urządzeń, które są podłączone do sieci – również tabletów, smartfonów, routerów, drukarek czy urządzeń Internetu Rzeczy (IoT). Zainfekowane urządzenia mogą zarażać kolejne.

Botami zarządza tzw. bot herder (ang. pasterz botów) lub bot master. Budowa sieci zombie może być różna. Podstawowa struktura to struktura scentralizowana – zarządzanie botami jak i sterowanie całą ich siecią odbywa się za pośrednictwem serwera command-and-control (C2). W związku z faktem, że organy ścigania potrafią takie serwery namierzać i zamykać, przestępcy zaczęli wykorzystywać strukturę zdecentralizowaną opartą na modelu peer-to-peer (P2), w której każdy bot może pełnić rolę serwera zarządzającego – nie występuje centralny komputer. W takim botnecie pojedyncze zombie posiada listę sąsiadujących maszyn, którym przekazuje polecenie – zadanie jest rozpropagowane w sieci bez wyróżniania roli serwera C2. Mimo że stworzenie takiej struktury jest bardziej czasochłonne, to skutecznie utrudnia organom ścigania zamykanie całej sieci botnet.

Struktura botnetu typu scentralizowanego
Opracowanie własne 

Struktura botnetu typu zdecentralizowanego
Opracowanie własne 

Botnety stanowią dla przestępców podstawę do dalszych działań. Przez uzyskanie dostępu do wielu urządzeń mogą skutecznie rozsyłać spam lub wiadomości phishingowe, ponieważ uzyskują dostęp do danych logowania do skrzynek pocztowych wszystkich ofiar. Cyberprzestępcy wykorzystują również dużą ilość urządzeń do przeprowadzania ataków typu DDoS (ang. distributed denial of service), polegających na próbie zajęcia wszystkich wolnych zasobów atakowanego systemu lub usługi sieciowej poprzez wysyłanie zapytań, a w następstwie uniemożliwienia działania. Duża łączna moc obliczeniowa botnetu często jest wykorzystywana do kopania kryptowalut lub do łamania zabezpieczeń systemów, do których dostęp chce uzyskać przestępca. Popularnym w 2021 roku sposobem użycia botnetów było ich wynajmowanie innym przestępcom na określony czas (oferty były zamieszczane w Darknecie). Po wynajęciu takiej sieci można było wykorzystać ją na wybrany przez siebie sposób.

Przebieg ataku
Źródło własne

Do zainfekowania urządzenia specjalnie przygotowanym złośliwym oprogramowaniem, zamieniającym komputer w zombie stosuje się najczęściej różnego rodzaju metody i techniki jak np. socjotechnika, phishing, czy podrzucenie nośnika danych z malware. Podczas wykorzystywania takich technik podstawą działania przestępców jest oddziaływanie na emocje – strach, ciekawość, chęć wzbogacenia.

Więcej o phishingu: Cyberzagrożenia w pigułce #1
W ostatnim czasie popularne stały się kody QR. Kod QR jest to dwuwymiarowa graficzna postać treści alfanumerycznej. Kody zbudowane są w taki sposób, aby możliwy był ich szybki odczyt. W związku z tym często wykorzystywane są w transporcie (do oznaczania paczek). Drugim głównym zastosowaniem jest zapisywanie za ich pomocą adresów URL. Ma to służyć do szybkiego przekierowywania na daną witrynę.

Cyberprzestępcy znaleźli swoje zastosowanie dla tej technologii – podsuwają użytkownikom kody prowadzące do zainfekowanych witryn. Wówczas może nastąpić automatyczne pobranie malware i dołączenie telefonu komórkowego do botnetu. Takie kody umieszczane są np. na ulotkach z informacją o prostym konkursie z dużą wygraną czy na słupach ulicznych. Ciekawość doprowadzi do zainfekowania urządzenia nieświadomej ofiary.
Przykładowy kod QR
Jednym z najbardziej popularnych przykładów botnetów jest sieć zbudowana z wykorzystaniem Emotetu. Emotet jest to koń trojański (złośliwe oprogramowanie, które podszywa się pod przydatne aplikacje), który zainfekował ponad 1,6 mln komputerów. Po raz pierwszy został zauważony w 2014 roku i służył do wykradania pieniędzy z kont bankowych ofiar. W tym celu wykorzystano technikę Man-in-the-Browser. Polega ona na przejęciu kontroli nad przeglądarką internetową na komputerze ofiary, a następnie np. po wypełnieniu formularza logowania do banku przesłaniu danych uwierzytelniających na serwer przestępcy. Trojan instalowany był poprzez uruchomienie zainfekowanego pliku tekstowego lub kliknięcie w podsunięte hiperłącze. Później Emotet został uzbrojony w nową funkcję – umożliwienie zainstalowania dowolnego oprogramowania na komputerze ofiary, co często było wystawiane na aukcje i później wykorzystywane np. do instalowania ransomware (oprogramowania złośliwego szyfrującego wszystkie dane na dysku – ofiara musiała zapłacić okup, aby dane zostały odszyfrowane). Wykorzystanie, jako platforma instalacyjna wielu rodzajów złośliwego oprogramowania na użytek cyberprzestępców sprawiło, że Europol uznał Emotet za jedno z najbardziej odpornych i niebezpiecznych zagrożeń swoich czasów. W styczniu 2021 dzięki międzynarodowej skoordynowanej akcji, organy ścigania przejęły kontrolę nad infrastrukturą Emotetu i usunęły niebezpieczeństwo (wymuszono automatyczną dezinstalację z zainfekowanych komputerów). Jednakże warto pamiętać, że w Internecie „nic nie ginie” i zagrożenie może do nas wrócić.

Jednoznaczne określenie, czy dany komputer stał się częścią botnetu jest trudne, ponieważ może się to objawiać tak samo jak w przypadku np. fizycznych problemów ze sprzętem, problemów z aktualizacją oprogramowania, czy zarażeniem innym typem oprogramowania. Istnieje jednak kilka typowych objawów związanych z sytuacją zamiany komputera w bot. Po pierwsze warto obserwować, czy nie spadła wydajność urządzenia – działa wolniej lub niespodziewanie wzrasta zużycie procesora. Wolne wyłączanie się komputera może być spowodowane tym, że został on dołączony do sieci zombie i wykonuje jakieś zadania. W przypadku, gdy użytkownik chce wyłączyć urządzenie, zadania muszą zostać przekierowane do innych botów, co zajmuje czas. Kolejnym objawem może być nadmierne użycie pamięci RAM przez nieznaną aplikację. Jeśli osoby ze środowiska użytkownika (kontakty ze skrzynki pocztowej) zgłaszają, że dostali od niego wiadomości phishingowe jest duże prawdopodobieństwo, że przestępca użył naszego komputera wraz z pocztą elektroniczną, jako zombie do rozsyłania wiadomości.
W celu przeciwdziałania dołączeniu urządzenia do sieci botnet należy na bieżąco uaktualniać system operacyjny, aby nie pozostawiać niezabezpieczonych podatności. Ponadto należy rozpoznawać phishingowe wiadomości i nie pobierać potencjalnie zainfekowanych załączników ani nie klikać w podejrzane linki. Aktualne oprogramowanie antywirusowe może wykryć złośliwe oprogramowanie i je zablokować. Istotne jest również używanie silnych i unikalnych haseł, w tym zmiana domyślnego hasła w routerze.

Botnety są jednym z najpowszechniejszych zagrożeń Internetu. Pojedynczy zainfekowany komputer może stanowić zagrożenie, lecz sieć takich komputerów może wywołać znaczne szkody. Pozostawienie komputera podatnego na ataki nie stanowi zagrożenia wyłącznie dla tego jednego urządzenia, ale dla każdego w Internecie. W związku z tym należy podejmować środki zapobiegawcze, ponieważ zapewnienie bezpieczeństwa w kontekście botnetu jest wspólną odpowiedzialnością.
 
Opracował: pchor. Bartosz Słupczewski - Cyfrowy Ambasador NCBC 
 
Źródła:
ENISA Threat Landscape 2020 Botnet
https://www.malwarebytes.com/botnet

https://www.cybsecurity.org/pl/co-to-jest-botnet-i-dlaczego-nalezy-zachowac-ostroznosc/

https://www.trendmicro.com/vinfo/us/security/definition/botnet

https://www.netcomplex.pl/blog/czy-emotet-zniknal-na-zawsze