Если вы никогда не слышали о ботнетах, то читайте эту статью. Здесь мы расскажем, что это такое, как мошенники их создают, приведем примеры бот-сетей и узнаем, какую опасность они несут рекламодателям. Скажем сразу, что ничего, кроме неприятностей, ботнеты не несут, поэтому лучше с ними никогда не сталкиваться.
Что такое ботнет
Ботнет (с английского botnet — сокращение от robot и net) — это сеть из зараженных вредоносным ПО устройств, используемых для совершения мошеннических атак на сайты, рекламу, соцсети, мессенджеры, мобильные приложения и другие ресурсы и устройства. Управляется бот-мастером.
Впервые цифровой мир столкнулся с ботнетами в 2000-х гг. С каждым годом их количество и масштабы росли. Мошенничество, совершаемое при помощи автоматизированных бот-сетей, приносит злоумышленникам миллионы и миллиарды, именно поэтому этот бизнес процветает. Специалисты по кибербезопасности даже провели исследование, в котором сравнили этот вид киберпреступлений с другими, и выяснили, что мошенничество с рекламой при помощи ботов менее рисковый и наиболее прибыльный вид киберпреступлений.
Злоумышленники создают и используют ботнеты для заражения устройств и вымогательства денежных средств за разблокировку доступа, кражи персональных данных на сайтах и не только, генерации аккаунтов на сайтах и в социальных сетях, рассылки спама, майнинга, скупки товаров в интернет-магазинах, DDoS-атак, автоматизированного скликивания рекламных объявлений и много чего еще.
Сети из ботов пользуются большим спросом среди кибермошенников по всему миру. Почему? Потому что они позволяют масштабировать атаки, которые идут не с одного устройства, а сразу с сотен тысяч и миллионов машин. Представьте себе, за какое время ботнет, в составе которого находится миллион зараженных устройств со всей планеты, сможет «положить» сайт после DDoS-атаки.
У каждого новообращенного бота свой IP-адрес, из-за чего его оператора сложно найти. Собственно, это и не имеет смысла. Есть смысл только блокировать доступ отдельных машин к защищаемому сайту, рекламе или другому ресурсу. И желательно не по IP, а ID с учетом всей совокупности технических и поведенческих параметров.
По мнению создателя протокола TCP/IP, Винта Серфа, четверть из 600 млн компьютеров по всему миру могут состоять в ботнетах (и их владельцы об этом даже не догадываются). Из всех стран мира в Индии таких зараженных устройств больше всего — порядка 2 млн.
Боты — это…
Сами по себе боты — это не вирусы, а ПО, созданное для выполнения определенных задач, поступающих от оператора, в автоматическом режиме. Если точнее, то это набор программ, который состоит или может состоять из вирусного ПО, инструментов взлома ОС, брандмауэров, ПО для перехвата информации и удаленного управления устройством. Киберпреступники компрометируют устройства жертв различными способами, среди которых социальная инженерия, фишинг, взлом и др.
Работающих способов заражения устройств существует множество. Мошенники постоянно придумывают новые варианты распространения своего вредоносного ПО. Самые популярные — рассылка e-mail с опасными ссылками и вложениями или же проникновение на компьютер через уязвимости легального ПО.
Владельцы зараженных устройств могут даже не подозревать, что их компьютер или какая-нибудь умная розетка уже являются частью ботнета. Отметим, что большинство новых вредоносных сетей долгое время могут оставаться незамеченными.
К счастью, банки, крупные платформы и сервисы, такие как BotFaqtor, разрабатывают специальные алгоритмы киберзащиты для борьбы с ботами и атаками. Кроме того, государственные структуры и крупные коммерческие компании объединяются против ботнетов и их владельцев и регулярно приостанавливают деятельность той или иной сети. Но даже не смотря на это, борьба с ними уже превратилась в игру в «Кошки-мышки». Мошенники находят лазейки и разрабатывают новые технологии обмана.
Как атакуют ботнеты
Бот, то есть зараженный компьютер или другое устройство в составе ботнета, например умный чайник, атакует сайт, рекламу или другой ресурс. Таким же образом они могут заражать и другие устройства для управления ими в своих целях и масштабирования сети. Это может быть персональный компьютер на любой ОС, роутер и даже новенький умный пылесос. В дальнейшем зараженное устройство называется «зомби».
Ботнеты появляются не за один вечер. Злоумышленники постепенно наращивают свои сети: чем больше сеть, тем мощнее может быть атака.
Факт: в 2014 году был создан ботнет Emotet. Он заражал ПК на ОС Windows различных организаций через рассылку фишинговых писем с вредоносной начинкой в виде зараженного вордовского документа. К операции по раскрытию этой сети и прекращению её распространения были привлечены Европол, ФБР и Национальное агентство по борьбе с преступностью Великобритании.
Когда бот-пастух (также его называют бот-мастер или оператор) заполучает в свою сеть достаточное количество устройств или компьютеров, он переходит к удаленному управлению ими.
Кто ими управляет
Ботнетами управляет оператор. Это может быть один человек или группа людей. Оператор отправляет на сервер и отдельные зараженные устройства команды с определенной задачаей или задачами. Например, это может быть команда на серфинг всех страниц сайта, скрейпинг, выполнение какого-нибудь куска кода, просто заход на сайт и пр.
Нередко ботнеты сдаются в аренду другим мошенникам для выполнения ряда более ресурсоёмких задач: скликивание рекламы на определенном сайте, генерация фальшивых заявок, установки мобильных приложений (чаще всего, конечно, их выполняют клик-фермы или фермы устройств).
Что самое интересное, обнаружить, кто стоит за ботнетом, то есть его оператора, очень сложно, а многие из них и вовсе навсегда остаются анонимными. Кибермошенники умело скрывают свои личности.
Виды ботнетов (направления)
Давайте посмотрим, зачем злоумышленникам нужны целые армии зараженных компьютеров, розеток, TV и мобильных устройств. Узнаем, в каких направлениях атак используются ботнеты.
DDoS
Самое первоочередное и основное направление ботнетов — организация широкомасштабных атак по типу «отказ в обслуживании» на сайты (DDoS). Ботам дается задача на генерацию визитов определенного сайта или целого сервера конкурента, чтобы «положить» его. Сайты могут оставаться недоступными долгое время, в связи с чем бизнес терпит серьезные убытки.
Делают это операторы ботнетов не развлечения ради. Они сдают в аренду свои « армии» за определенную плату с посекундной тарификацией, определенными кулдаунами, количеством используемых в атаке машин и другими параметрами.
Также это не всегда аренда. Киберпреступники и сами могут организовывать атаки и шантажировать владельцев сайтов. Чтобы атаки прекратились и сайт стал доступ для рядовых пользователей, они просят мзду с владельца ресурса.
Ботнеты для майнинга
Актуальное направление в наше время, которое получило развитие еще в далеком 2009 году, когда появился Bitcoin. Весь мир бросился генерировать эту криптовалюту. А чтобы процесс генерации был еще быстрее, некоторые хитренькие разработчики начали использовать для этого чужие компьютеры. Так и появился майнинг с помощью ботнетов (майнинговых ферм) — паразитирование на чужом устройстве, а точнее, на ресурсах его видеокарты, для выработки мощностей и генерации криптовалюты.
Обратите внимание на производительность своего устройства. Она сильно возросла? Телефон постоянно греется? Стало не хватать памяти на простые программы? Слышите, как постоянно гудят кулеры? Скорее всего, ваше устройство заражено и, вполне вероятно, его используют для криптомайнинга.
Посмотрите на стоимость одного биткоина и подумайте, насколько выгодно использовать ботнеты для их генерации.
Реклама и скликивание
Ботнеты, используемые для скликивания рекламных объявлений, — дело нередкое и опасное. Боты, которые автоматически скликивают рекламу, расходуют бюджет, примешивают в статистику недействительный трафик, повышают стоимость клика, увеличивают показатель отказов и др. Злоумышленники не только накручивают клики, но и генерируют просмотры видеорекламы (от этого сильно страдают маркетинговые кампании с таргетингом по CTV-устройствам), а также заявки.
Почему мошенники выбрали для кликфрода именно ботнеты:
- Автоматизация атак. В отличие от рядовых скликивателей, боты намного быстрее совершают клики.
- Отдельные IP. У каждого устройства в составе ботнета свой IP-адрес. Они могут быть вообще разбросаны по всему миру. Так сложнее понять, что визиты искусственные.
- У каждого устройства свой цифровой след (фингерпринт), который позволяет скрывать мошенническую активность.
Злоумышленники создают десятки и сотни сайтов, добавляют их для монетизации в Google AdSense и Директ, размещают рекламу и с помощью ботнетов накручивают клики. Представьте, сколько мошенник может заработать на скликивании, если он владеет целой сетью ботов. Он в плюсе, а рекламодатели в минусе.
Email-спам
Кто из нас не сталкивался с email-спамом? Да все мы сталкивались. То нам пишут из банка, то предлагают бесплатно денег, то умер наш дорогой двоюродный дедушка бабушкиной прабабушки и оставил нам наследство. Всё это — спам, рассылаемый при помощи ботнетов.
Преимущество бот-сетей, используемых для спам-рассылок, заключается в уникальных IP-адресах каждого устройства в его составе. Это упрощает массовую отправку писем и снижает риски блокировки со стороны почтового сервиса.
Примеры самых известных ботнетов в мире
Ниже описаны самые масштабные и известные ботнеты, которые нанесли коммерческим компаниям и рядовым пользователям со всего мира неимоверный ущерб. Мы не указываем статус, активна ли сеть или нет, так как их вариации могут развиваться, менять названия и направления. Даже если деятельность ботнета была остановлена, нет гарантий, что завтра не появится новый на его основе.
Mirai
Для взлома IoT-устройств и выполнения DDoS-атак
- Семейство ПО: черви
- Кто под угрозой: умные устройства (IoT)
- Применение: DDoS-атаки
- Ущерб: ~100 млн долларов
Mirai — ботнет, разработанный специально для проведения DDoS-атак. В качестве заражаемых целей, которые должны были стать частью сети, его разработчики выбрали умные бытовые устройства (IoT, Internet of things). По умолчанию к учетной записи таких устройствах задавались однотипные логин и пароль. Его операторы нашли именно эту уязвимость и таким образом получали к ним доступ.
В 2016 году хакеры использовали тостеры, холодильники и регуляторы тепла, которые входили в состав ботнета Mirai, для одной из крупнейших DDoS-атак.
Хакерская группировка, известная как Mirai, совершила ряд громких атак. Самыми известными стали атаки на сайт журналиста Брайана Кребса, который незадолго до этого опубликовал статью о заработке на подобных ботнетах, а также на Dyn DNS, американского провайдера DNS-услуг.
В 2017 году Дэниел Кайе, один из операторов Mirai, также известный под ником BestBuy, был арестован. Он был осужден в Германии, где получил условный срок, а затем в Великобритании, где его приговорили к реальному тюремному заключению.
Andromeda
Спам-ботнет с вредоносным ПО; использовался для кражи учетных данных (формграббинга) и др.
- Семейство ПО: трояны
- Кто под угрозой: любые устройства
- Применение: множество применений
Бот-сеть Andromeda впервые была замечена в 2011 году, но наиболее запомнилась атакой 2016 года, когда пользователи получали спам с вредоносной начинкой на свои почтовые ящики и устанавливали малварь. Ботнет использовал различные методы распространения, включая фишинг, спам, warez-сайты и сайты скачивания контента.
В операции по пресечению деятельности ботнета Andromeda принимали участие ФБР, Интерпол, Европол, Евроюст, объединенная группа по борьбе с киберпреступностью и другие коммерческие компании. В 2017 году было прекращено действие 464 отдельных ботнетов. Создателем сети оказался Сергей Ярец из Гомельской области (Республика Беларусь), также известный как Ar3s.
ZeuS
Для воровства банковских данных
- Семейство ПО: трояны
- Кто под угрозой: ПК, любые версии Windows
- Применение: кража денежных средств с банковских счетов
- Ущерб: >100 млн долларов
По своей сути, ZeuS — это троянская программа, созданная для перехвата паролей пользователей к платежным системам. В дальнейшем злоумышленники использовали скомпрометированные данные для кражи денежных средств. Эта программа способна работать на всех версиях ОС Windows без драйверов, и что самое пугающее, заразиться ею можно было даже через гостевую учетную запись.
Жертвами ZeuS стали пользователи из 196 стран по всему миру. Мошенники выбирали разные способы доставки вредоносного ПО на устройства: спам по электронной почте, подставные ссылки и, впервые, социальные сети. Например, в Facebook* (принадлежит Meta, организации, запрещенной в России) пользователям рассылался спам с фотосообщениями, ведущий на вредоносные сайты, зараженные ботнетом.
Программа внедрялась в систему, компрометировала учетные данные от банковских онлайн-аккаунтов и переводила деньги на счета других жертв, чтобы замести следы. По данным аналитиков, ZeuS был виновником 90% преступлений в сфере мошенничества в банковском секторе во всем мире.
3ve (Eve)
Ботнет для скликивания рекламы
- Семейство ПО: трояны
- Кто под угрозой: рекламодатели; ПК
- Применение: слив рекламных бюджетов
- Ущерб: >20 млн долларов
Ботнет 3ve распространял вредоносное ПО, заражая компьютерные устройства через email-спам и псевдозагрузку контента. Как только вирус заражал ПК жертвы, ей отправлялись команды на скликивание рекламных объявлений. Злоумышленники подключали к Google AdSense свои сайты и направляли трафик с ботнетов туда, чтобы боты кликали по рекламным объявлениям и увеличивали вознаграждения от монетизации.
Ежедневно 3ve генерировал около 3 миллиардов псевдозапросов на рекламных биржах. У него было более 60 тыс. аккаунтов, 10 тыс. фальшивых сайтов для рекламы, более 1 тыс. серверов в дата-центрах. Мошенники контролировали более миллиона IP-адресов.
Создателями и операторами сети были граждане России и Казахстана. Сеть была раскрыта, сервера и домены отключены, а бот-мастера привлечены к ответственности (кого удалось поймать).
Существует ли защита от ботнетов
Все эти вредоносные сети могут причинить серьезный ущерб бизнесу. Будь то атаки на сайты, мобильные приложения или рекламу.
Если ваш ресурс защищен от DDoS-атак с помощью специального ПО, то что делать с рекламой? Как защитить её от скликивания и накруток?
Попробуйте специальный сервис киберзащиты рекламы Botfaqtor.ru. Он использует уникальные алгоритмы и анализирует рекламный трафик по 100+ техническим и поведенческим параметрам. В процессе используется машинное обучение для оптимизации алгоритмов обнаружения мошеннических и нецелевых визитов. Ботам блокируется показ рекламы, и ваши финансы остаются в безопасности.
Botfaqtor бережет ваш бюджет от мошенников
Экономьте до 30% рекламного бюджета! Блокируйте бот-атаки по скликиванию баннеров и попрощайтесь с нечестными конкурентами, которые портят вам статистику. Защитите позиции сайта от SEO-оптимизаторов, которые «топят» ваш сайт накруткой поведенческих.
Поставьте защиту Botfaqtor против ботнетов и мошенников, разработанную специалистами в области кибербезопасности.
