Мы окружены технологиями: дома, на улице, на работе. Они буквально находятся у нас в руках — смартфоны и планшеты. Цифровизация забрала у нас частичку реального мира, однако взамен дала практически безграничные возможности в мире виртуальном. Благодаря этим возможностям в сети орудуют мошенники, которые для организации вредоносных атак на сайты и системы используют специальный инструмент — ботнеты.
Что это такое и как происходит, расскажем в этой статье, а также приведем примеры самых крупных атак за последнее время.
Что такое атака ботнета
Прежде чем говорить о недавних бот-атаках, давайте узнаем, что такое в принципе ботнет.
Слово botnet — производное от двух слов: robot (робот) и net (сеть), то есть «сеть роботов». Он представляет собой группу зараженных вредоносной программой устройств, управляемых оператором. Важное условие — устройства должны быть подключены к интернету. Это могут быть роутеры, смартфоны, чайники, выключатели и бойлеры. В общем, любые устройства с доступом к интернету.
Взломанные устройства используются киберпреступниками для организации атак, которые нарушают работу служб и получают несанкционированный доступ к другим системам. Атака ботнета — это крупномасштабная кибератака с удаленным управлением. Запускает и управляет процессом — оператор, а выполняют задачу — роботы, то есть зараженные устройства.
Как правило, вредоносная программа заражает одно устройство за раз, но при этом в больших количествах. Именно этому фактору ботнеты обязаны своей силой. При организации атак злоумышленник может выполнять несколько действий на разных устройствах одновременно, что затрудняет их блокировку.
5 типов ботнет-атак
Существует несколько типов атак, для которых злоумышленники используют такие сети. И их сложность год от года увеличивается. Вот пять самых распространенных типов:
Атаки грубой силы
Как следует из названия, это «агрессивный» тип ботнет-атак, применяемый злоумышленниками, когда они не знают ни одного из паролей своей цели. Этот метод работает на принципе быстрого подбора паролей. Вредоносная программа атакует взламываемую систему потоковыми попытками ввода пароля, пока не будет подобран правильный.
Распределенные атаки типа «отказ в обслуживании» (DDoS)
DDoS-атака направлена на нарушение работы сервера, службы или сети. Для этого злоумышленник направляет большое количество интернет-трафика и перегружает сервер. Органический трафик останавливается из-за перегрузки, и в итоге вся система отключается.
Это наиболее распространенный метод, при котором киберпреступники активно используют ботнеты. И не зря, ведь он весьма эффективен. DDoS-атаки осуществляются с помощью скомпрометированных, то есть зараженных, устройств: компьютеры, телефоны, IoT-устройства.
Спам и фишинг
Рассылка спама по электронной почте не с вредоносным вложением, а со ссылкой на фишинговый сайт. Как правило, это рассылки по типу «вы выиграли миллион рублей», «получите промокод», «бесплатная подписка» и т. п. Конечная цель такой ботнет-атаки — кража персональных и платежных данных. В первую очередь жертвами становятся сотрудники крупных компаний, работающие с конфиденциальной информацией.
В случае успешной атаки злоумышленник с помощью фишинга может обманным путем заполучить доступ к большему количеству устройств и расширить ботнет.
Блокировка устройства
Термин «блокировка» (англ. bricking — превращение в “кирпич”) обычно используется для описания устройства, которое больше нельзя использовать, поскольку оно повреждено и не подлежит ремонту. Атаки ботнетов, направленные на блокировку устройств, обычно происходят в несколько этапов.
Сперва устройство (как правило, телефон) заражается вредоносным ПО. Затем вредонос удаляет на нем содержимое, в том числе и следы атаки. В итоге телефон превращается просто в «кирпич», то есть его нормальное функционирование блокируется каким-нибудь циклическим или статическим процессом: бесконечная загрузка, зависание на одном экране, страница с заставкой при включении/выключении, черный или белый экран смерти.
Скликивание
Скликиванием (англ. click fraud) называется процесс намеренного и многократного перехода по рекламе с целью расходования рекламного бюджета и накрутки показателей. Это один из методов мошенничества с рекламой (ad fraud).
Если говорить о рекламе CPM, то есть с оплатой за тысячу показов, то здесь киберпреступники накручивают искусственно просмотры. Как, например, этим занимались операторы ботнета DrainerBot.
В обоих случаях злоумышленники используют ботов — зараженные вредоносом устройства, принцип действия которых мы описали выше.
Примеры самых известных атак ботнетов
Согласно отчету Imperva за 2021 год о вредоносных ботах, их трафик составил 25,6% в 2020 году. Менее 60% трафика приходилось на людей, а 15,2% трафика — на полезных ботов.
В том же отчете также сказано, что:
- Отраслями, наиболее пострадавшими от вредоносов, стали телекоммуникации и интернет-провайдеры с 45,7% бот-трафика, за ними следуют информационные технологии с 41,1%. Спорт, новости и B2B также стали объектом повышенного внимания со стороны злоумышленников.
- Усовершенствованные («умные») боты составляли 57,1% вредоносного трафика.
- Атаки ботнетов чаще нацелены на мобильные устройства — на них приходилось 28,1% вредоносных ботовых запросов.
В отчете о киберпреступности от LexisNexis Risk Solutions сказано, что количество атак ботнетов резко возросло в первой половине 2021 года, увеличившись на 41%. В другом отчете FortiGuard Labs сообщается, что примерно в то же время процент организаций, которые подверглись атакам, подскочил с 35% до 51%.
Бот-атаки становятся все более распространенными и сложными. Некоторые из них вызвали обеспокоенность международного сообщества и попали в новостные сводки ведущих СМИ.
Mēris
В сентябре 2021 года на серверы Яндекса обрушилась самая крупная DDoS-атака за всю историю интернета. Ей был назначен 7 уровень. Ее мощность составила 21,8 млн RPS. Источником, по словам специалистов, стал новый ботнет Mēris, что в переводе означает «чума».
Вредонос задействовал для этого не просто зараженные устройства интернета вещей (IoT), а специализированные высокопроизводительное оборудование. По оценкам Яндекса, всего было скомпрометировано и использовано для атаки более 200 тыс. устройств.
Наращивание зараженных устройств для ботнета осуществлялось при помощи вируса Glupteba. Метод взлома — атака грубой силы: подбор паролей SSH, а также эксплуатация уязвимости в RouterOS CVE-2018-14847.
Большинство зараженных устройств находились в странах Азии и Южной Америки — Бангладеш, Бразилия, Индия, Индонезия, Ирак, Камбоджа, Колумбия, Китай, а также Европа и Северная Америка — Россия, Польша, США, Украина и десятки других стран.
Яндексу удалось отразить атаку. На работоспособности сервисов она не сказалась.
Trickbot
Рост числа угроз со стороны ботнетов в первой половине 2021 года частично объясняется «возвращением» вредоносного ПО Trickbot. Данное программное обеспечение, предположительно, было отключено в 2020 году, однако возродилось с новыми возможностями.
Осенью 2020 года прошла масштабная спецоперация по ликвидации одной из крупнейших бот-сетей — TrickBot. В ней принимали участие правоохранительные органы, специалисты команды Microsoft Defender, некоммерческой организации FS-ISAC, а также ESET, Lumen, NTT и Symantec.
Эксперты ведущих компьютерных и антивирусных программ и их партнеры сумели собрать более 125 тыс. образцов ботнета TrickBot, 40 тыс. файлов конфигурации и 28 отдельных плагинов. Они провели полный анализ всего содержимого, извлечение и маппинг информации о внутренней работе вредоноса, включая серверы, используемые для управления зараженными машинами и обслуживания дополнительных модулей.
По окончанию сбора всех данных представители Microsoft обратились в суд с просьбой передать компании контроль над серверами этого вредоноса.
Теперь же ботнет Trickbot может сканировать встроенное ПО UEFI/BIOS целевой системы на наличие уязвимостей. Это делает его мощной и адаптируемой угрозой.
Mirai
Mirai — еще один ботнет, ставший угрозой для рекламодателей и владельцев сайтов в 2021 году. Это вредоносное ПО, исходный код которого стал свободно доступен в 2016 году, ориентировано на заражение устройств интернета вещей. На их базе он запускает DDoS на конечные цели. Кроме того, он использовался для скликивания рекламы.
Эксперты полагают, что именно этот вредонос стоял за масштабной DDoS-атакой на сервера хостинг-провайдера и регистратора доменов Dyn в октябре 2016 года, что привело к его временной блокировке. Для атаки использовалось 100 тыс. зараженных IoT-устройств.
Несмотря на то, что сеть была раскрыта и частично ликвидирована, она по-прежнему представляет собой серьезную угрозу в цифровой среде, поскольку продолжают появляться новые варианты ботнета.
Gafgyt
Эта вредоносная программа очень похожа на Mirai. Она также используется для создания ботнета и запуска DDoS-атак. Gafgyt известен с 2014 года, и, как и в случае с Mirai, его исходный код стал общедоступным в 2015 году. Недавние атаки были вызваны вариантами Gafgyt, которые направлены на устройства IoT.
По словам экспертов «Лаборатории Касперского», число атак на устройства интернета вещей увеличилось в первом полугодии 2022 года и возросло на 40%. Основными виновниками заражения и распространения являются вредоносы Mirai, Gafgyt и NyaDrop. Среди устройств, атакуемых вредоносными ПО, лидируют камеры видеонаблюдения и роутеры.
Storm
Ботнет Storm попал в заголовки газет еще в 2007 году. Сеть контролировалась несколькими серверами и состояли из 1 млн зараженных компьютеров. Его можно было арендовать для совершения различных киберпреступлений: от DDoS-атак до цифровых краж.
Ряд серверов Storm был отключен в 2008 году. Его активность замедлилась, и в настоящее время считается, что ботнет неактивен.
Кибервойна между Украиной и Россией
Украинские и российские хакеры регулярно проводили и проводят атаки различного уровня сложности на компании по всему миру. А сейчас, в свете текущего положения, они объявили войну друг другу.
Anonymous
Кибервойну против России объявила хакерская группировка Anonymous. Об этом они написали в своем Twitter-аккаунте в ночь на 25 февраля. Предполагается, что атакованный вслед за этим заявлением сайт гостелеканала RT, коррелирует с их предшествующим заявлением.
Также атакам подверглись российские правительственные сайты и сервера интернет-провайдеров. Среди государственных ресурсов жертвами стали сайты Роскомнадзора, Пенсионного фонда России (ПФР), Федеральной антимонопольной службы (ФАС) и информационные ресурсы Крыма. Не остались в стороне и крупные компании: «Норникель», «Лукойл», «Газпром» и Яндекс.
Кроме того, хакеры атаковали сайты белорусских и российских СМИ: «Фонтанка», «Коммерсант», «Известия», «Мел», ТАСС. На них были размещены сообщения с призывами прекратить спецоперацию на Украине.
Однако российская хакерская группа Killnet ответила атакой на сайт группировки Anonymous. Спустя несколько суток после того, как Anoymous объявили о готовящемся наступлении на официальные российские ресурсы, сайт Anonymous неожиданно перестал работать.
«Не бойся, Россия, никто и ничто не может вам угрожать», — написали Killnet в обращении.
4 кибератаки на крупные агропредприятия России
1-я атака. 26 февраля хакеры атаковали агрохаб Селятино в Московской области. Злоумышленники взломали головной контроллер, через который управляются холодильные установки, и изменили температурный режим с -24° C на +30° C. Взлом на складе, где хранилось 40 тонн замороженного мяса и рыбы, обнаружили не сразу.
2-я атака. 18 марта нападению хакеров подверглись структуры «Мираторга», которые внедрили в операционную в их систему Microsoft вирус-шифровальщик. В результате пострадал документооборот 15 предприятий, так как вирус зашифровал дисковое пространство серверов. Выдача ветеринарных и транспортных документов была остановлена.
3-я атака. 24 марта были атакованы структуры продуктового холдинга “Тавр” в Ростовской области. В систему предприятия также был внедрен вирус, который задел выписку сертификатов и 1С. После разбирательств, компаний была установлена дополнительная защита от киберугроз.
4-я атака. 2 апреля киберпреступниками была атакована система «Меркурий». Работоспособность серверов удалось сохранить только после отключения сверки данных с «ВетИС».
Атака на Госуслуги
23 июня в Telegram-канале ведомства появилась информация об организованной масштабной кибератаке со стороны Украины на сервера государственного сервиса «Госуслуги». В пиковые моменты нагрузка доходила до 340 тыс. RPS. Цель хакеров заключалась в приостарновке предоставления населению России социально значимых услуг.
Как обезопасить себя от атак ботнетов
Лучший способ справиться с кибератаками — предотвратить их. Восстановление ресурса после атаки ботнета, скорее всего, будет трудным и дорогостоящим. Недавние события показали, что лучше их предотвратить, чем лечить. Вот несколько советов о том, как обеспечить безопасность своей системы:
Обучение персонала
Информируйте сотрудников компании и партнеров о рисках, связанных с ботнет-атаками в целом и фишингом в частности.
Новые устройства
Добавляйте новые устройства в свою сеть только после того, как убедитесь, что они соответствуют стандартам безопасности вашей организации.
Программное обеспечение
Убедитесь, что пользуетесь последней версией программного обеспечения или устройства. Регулярно проверяйте их на наличие обновлений. Их суть заключается в первую очередь в устранении уязвимостей, которыми могут воспользоваться злоумышленники и внедриться в вашу систему.
Учетные данные
Регулярно меняйте учетные данные для входа на все свои устройства.
Ограничьте доступ к своим устройствам
Убедитесь, что доступ к важным разделам системы вашей организации ограничен; доступ должен быть только у уполномоченных сотрудников.
Зарегистрируйтесь в Botfator и установите систему киберзащиты
Мир кибербезопасности сложен, и недавние атаки ботнетов тому пример. Цифровой мир окружает нас везде, поэтому снизить количество хакерских взломов и мошеннического скликивания практически невозможно, но можно этому противостоять. Для этого стоит установить на сайт систему блокировки ботов — она будет останавливать атаки ботнетов.
Botfaqtor — это сервис, который защищает рекламные кампании в Яндекс.Директ и Google Ads от кликфрода и сайты от мошеннического бот-трафика. Такая киберзащита помогает поддерживать чистоту кликов и высокий показатель ROI. Мы используем расширенную аналитику посткликов на основе 100 технических и поведенческих паттернов поведения.
Убедитесь в подлинности своих кликов по рекламе. Автоматизируйте блокировку мошеннических атак с помощью ведущего в отрасли программного обеспечения для борьбы с кликфродом.
Зарегистрируйтесь в сервисе, попробуйте бесплатный тест-драйв на 7 дней и получите анализ рекламного трафика в Яндекс Директ или Google Ads по своим кампаниям.
