Кибератаки могут принимать различные формы и производиться с помощью всевозможных технических методов и стратегий. Самой распространенной формой и активным инструментом в руках злоумышленников для выполнения атак с разрушительными последствиями является ботнет.
В качестве основных целей для атак злоумышленники выбирают промышленный и государственный сектор.
К примеру, согласно данным компании StormWall, с 5 по 31 января 2023 года число DDoS-атак на российские фирмы выросло на 23%: на госорганизации — на 104%, энергетическая отрасль — 63%, нефтяная сфера — 48%, финансовые организации — 42%. Мощность пиковой атаки составила 1.4 Тбит/с. Для совершения атак такой мощности хакеры использовали большую армию ботов. В составе ботнета числилось не менее 55 тыс. зараженных устройств (компьютеры, мобильные телефоны, серверы и роутеры).
С подобными организованными кибератаками с использованием ботнетов различного масштаба сектор сталкивается не впервые. Тем не менее, их частота и мощность растет с каждым годом.
За ними стоят как индивидуальные злоумышленники, так и целые хакерские группировки. На самом деле, согласно последним исследованиям в области кибербезопасности, атаки ботов обрушились лавиной в 2021 и продолжают нарастать в связи с ростом количества зараженных устройств.
Что такое ботнет (botnet)
Давайте вспомним, что же такое ботнет. Слово ботнет (от англ. botnet) состоит из двух слов: robot (робот) и network (сеть). Они контролируются операторами — бот-мастерами. Чтобы создать такую сеть, киберпреступники умышленно заражают пользовательские устройства троянами, червями и другими вредоносными программами, а затем используют их для проведения атак.
Более подробное определение понятия «ботнет» звучит так:
«Ботнет — это группа скомпрометированных устройств, объединенных в единую сеть и используемых для вредоносных целей. Каждый компьютер в этой сети является ботом. Сеть контролируется оператором и используется для передачи вредоносных программ или спама, а также для организации атак. Ботнет также нередко называют армией зомби». [Technopedia]
Первоначальные ботнеты управлялись через команды от централизованного IRC-сервера. Команда выполнялась в форме обычного сообщения. Ограничение ботнета Internet Relay Chat заключалось в том, что весь ботнет мог быть свернут простым отключением IRC-сервера. Хакеры использовали уязвимости в IRC-сетях и разрабатывали ботов для выполнения вредоносных действий, таких как кража паролей, регистрация нажатий клавиш и т. д.
Другой вариант — P2P-ботнеты (от англ. «peer-to-peer», что переводится как «точка-точка»), то есть децентрализованные сети. В этом случае боты соединяются не с центром управления, а с несколькими зараженными машинами из зомби-сети.
В качестве целей атакующий чаще всего выбирал компьютеры, у которых отсутствовала какая-либо защита в виде файервола и/или антивирусной программы. Оператор ботнета мог заполучить управление устройством различными способами, чаще всего это заражение устройства через вирусы или черви.
Подробный разбор ботнетов с описанием и количеством зараженных устройств читайте здесь >>>
Почему это основной инструмент мошенников
Ботнеты очень ценятся хакерами и преступным кибергруппами, поскольку помогают им заниматься вредоносной деятельностью в сети. К примеру, с помощью них хакеры могут совершать DDoS-атаки, а интернет-мошенники рассылать спам, заниматься фишингом или скликивать рекламу.
Эксперт в области кибербезопасности Иса Ойекунле лаконично рассказывает в своем блоге о том, зачем нужны боты и ботнеты и как они используются в кибератаках. Он отмечает, что киберпреступники используют их для выполнения различных задач, среди которых: получение доступа к банковским и персональным данным пользователей, выведение из строя популярных веб-сервисов, выманивание денежных средств — в общем, всё, что может приносить деньги.
Кроме того, злоумышленники могут продавать добытые с помощью ботнетов базы данных с логинами и паролями пользователей другим мошенникам, участвовать в мошенничестве с криптовалютой, развертывать и распространять вредоносное ПО и многое другое. Среди атак, выполняемых киберпреступниками с помощью бот-сетей, эксперт называет фишинг, спам, криптовалютные мошеннические операции, шпионаж, DDoS, атаки грубой силы и т. д.
К сожалению, существует множество инструментов, доступных хакерам и онлайн-мошенникам, которыми они могут обмениваться между собой, продавать и сдавать в аренду. Найти такие инструменты и ботнеты можно в Даркнете и на хакерских форумах.
Мошенничество с рекламой, в котором также участвуют ботнеты, — еще одна растущая проблема цифрового бизнеса. В 2022 году оно нанесло ущерб рекламодателям на сумму 80 млрд долларов. Злоумышленники используют ботов для скликивания рекламных объявлений, просмотра рекламы, привлечения фальшивых лидов, фальсификации продаж, подписок и т. д.
Как злоумышленники управляют ботнет-атаками
Компания CrowdStrike, специализирующаяся на кибербезопасности, описала три этапа создания и развертывания ботнета: 1) Развертка, 2) заражение и масштабирование и 3) активация.
Теперь подробнее об этапах:
- На первом этапе хакер ищет уязвимости в системе, на сайте, в приложении, на устройстве пользователя, чтобы заразить их вредоносным ПО. Для заражения устройства хакеры ищут «дыры» в системах безопасности. «Бот-пастух» делает это скрытно, чтобы не быть замеченным. Вредонос может быть доставлен на устройство жертвы различными путями: по электронной почте, путем загрузки с диска (Drive-by) и иными способами.
- Далее устройство жертвы заражается вредоносным ПО. Это происходит через загрузку файла с «с начинкой», открытие вложений с вредоносом в спам-письмах, через всплывающие окна, наборы эксплойтов и т. д. Если это централизованный ботнет, то оператор направит зараженное устройство на сервер C&C. Если это P2P-сеть, то начнется одноранговое распространение, и устройства-зомби попытаются подключиться к другим зараженным устройствам.
- Третий этап. Если злоумышленнику удалось заразить огромное количество компьютеров, то есть собрать армию ботов, он может приступить к выполнению атак. Задачи и очередность выполнения зараженные устройства будут получать автоматически с C&C-сервера. Далее бот будет выполнять заданное вредоносное или мошенническое действие в соответствии с закрепленным за ним порядком. Оператор в любой момент может продолжить удаленно управлять и наращивать ботнет.
Выше описан стандартный трехэтапный процесс, смоделированный специалистами по кибербезопасности. Эксперты также напоминают, что для распространения и наращивания ботнета злоумышленники могут использовать как стандартные, так и усовершенствованные тактики.
Цифровой мир будущего… создан для ботнетов
За последнее десятилетие цифровой мир потрясли кибер-атаки, организованные с помощью ботнетов. Любой, кто интересуется темой кибербезопасности, возможно, слышал о масштабной и высокотехнологичной DDoS-атаке ботнета Mirai в 2016 году.
«Мираи» был из тех ботнетов, которые использовали для своих атак IoT-устройства. Это были любые объединенные в сеть умные бытовые приборы с выходом в интернет, зараженные вредоносом. В атаках могли участвовать обычные устройства: чайники, холодильники, цифровые маршрутизаторы, веб-камеры и видеомагнитофоны.
Деятельность бот-сетей влечет ужасные последствия для объединенных в единую сеть устройств. Особую опасность они представляют для сетей, чьи уязвимости не закрыты системами безопасности. Именно через эти «дыры» и может просачиваться вредоносное ПО, заражать устройства и превращать их в свои «боевые» единицы.
В 2018 году в результате одной из крупнейших ДДоС-атак жертвой ботнета стала платформа разработки программного обеспечения GitHub. Атаковавшим удалось вывести ресурс из строя.
Благодаря достижениям в области искусственного интеллекта и машинного обучения злоумышленники теперь могут легко автоматизировать и быстро расширять ботнет-сети для проведения масштабных кибератак. Также растет и число сервисов аренды ботов, используемых киберпреступниками для аутсорсинга. И хотя существует множество вариантов ботнетов, атаки типа DDoS по-прежнему считаются наиболее распространенными.
Стратегии борьбы с ботнетами
Плохая новость — ботнеты опасны. Хорошая — на данный момент доступны системы киберзащиты, которые позволяют блокировать атаки ботов и смягчать последствия.
В статье, опубликованной в американском журнале Cybersecurity Magazine, специалист по кибербезопасности малого и среднего бизнеса Винугаятри Чиннасами предлагает несколько способов борьбы с ботами. К ним относятся:
- Анализ бот-трафика. Крайне важно проанализировать визиты сайта или приложения на наличие ботового поведения. Анализ трафика в режиме реального времени позволяет эффективно обнаруживать атаки ботнетов. При этом подходе оценивается каждый визит по определенным параметрам. Например, сервис Botfaqtor проверяет переходы по рекламе по 100 и более пунктам технических и поведенческих параметров. Также для этого используется накопленная база данных и стоп-листы с уже заблокированными ранее ботами.
- Распознавание бота. Чтобы заблокировать робота, необходимо распознать его сущность. Для этого считывается информация из его заголовка (header) и потока веб-запросов с помощью файервола (например, Web Application Firewall). Если система распознает визит как вредоносный, то она мгновенно его блокирует.
- Использование детектора ботов. Использование инструментов обнаружения ботов, таких как библиотеки CAPTCHA, ловушки и другие методы, позволяет создавать различные практические задачи и тесты, которые смогут остановить бота от вредоносной активности на сайте. Например, когда речь заходит о формах заявок или подписок.
К примеру, компания HUMAN, специализирующаяся на кибербезопасности, добилась ряда успехов в борьбе с ботнетами в сотрудничестве с правоохранительными органами и представителями промышленного сектора бизнеса. Ее специалисты применяли агрессивный коллективный подход, в котором использовались передовые техники распознавания сигнатур и поведения при поддержке хакеров из спецслужб.
Решения принимались в режиме реального времени в сочетании с анализом технических параметров и машинного обучения. Это дало возможность быстро определять, является ли посетитель сайта ботом или нет.
К слову, специалистам именно этой компании удалось уничтожить сразу три ботнета: в сотрудничестве с Roku и Google — PARETO, который атаковал CTV-рекламу; 3ve, когда пришлось объединиться с ФБР, Google, Facebook и многими другими представителей отрасли; и Methbot, создатель которого, провозгласивший себя «русским королем цифрового мошенничества», не так давно был приговорен к 10 годам тюремного заключения.
Боты используются для всего: поиска уязвимостей в сетях, кражи конфиденциальной информации, захвата учетных записей, перехвата лимитированных коллекций товаров (сникерсов, к примеру), манипулирования популярностью и многомиллиардного мошенничества с рекламой. Ботнеты стали платформой для киберпреступлений и используются большинством цифровых преступников.
Защита от этих типов атак требует иного подхода, который основан на современной защите и наборе стратегий, которые увеличивают стоимость атаки и снижают стоимость защиты. Это меняет ход игры и соотношение сил в лучшую сторону, позволяя нам побеждать атакующих. Это единственный способ выйти из этой битвы победителем.
Система киберзащиты от бот-атак Botfaqtor
Не позволяйте ботам атаковать свой сайт и рекламные кампании. Для защиты от современных киберугроз со стороны скликивателей и ботнетов используйте сервис защиты Botfaqtor. Блокировка ботов осуществляется при помощи специального алгоритма, который проверяет визиты по 100 и более пунктам технических и поведенческих параметров.
В процессе обнаружения недействительного трафика участвует машинное обучение, накопленная база данных автоматизированного поведения и стоп-листы. Система блокирует ботовые переходы по рекламе, экономит рекламный бюджет, бережет репутацию владельца ресурса, который участвует в КМС или РСЯ, улучшает аналитику и упрощает процесс принятия решений.
Botfaqtor предлагает следующие инструменты:
- Антибот для сайта для паблишеров и вебмастеров, которые участвуют в РСЯ и КМС.
- Сервис защиты рекламы от бот-трафика в Яндекс.Директ / Google Ads.
- Вот кейсы наших клиентов, которые подключили сервис защиты и экономят на рекламе. Например, компании по ремонту квартир за месяц мы сэкономили на рекламе 460 760 руб.
- Согласно аналитической статистике сервиса Botfaqtor, от 5% до 30% устройств, на которых показывается реклама, не приводят к конверсиям. Поэтому мы разработали новый уникальный инструмент для Яндекс.Директа, который позволяет отключить показ рекламы в низкоконверсионных устройствах, браузерах и ОС. С его помощью вы сможете снизить показ такой рекламы на 70%. Подробнее об инструменте >>>
- Если вы работаете с рекламным кабинетом eLama, подключайте бесплатно сервис Botfaqtor там — нас вы найдете в Маркетплейсе инструментов. Полностью бесплатно на тарифе «Optimal».
Чтобы ваш сайт функционировал в штатном режиме, подключите сервис блокировки бот-трафика Botfaqtor.
