Botnety i DDoS wciąż groźne

Botnety, czyli sieci komputerów, nad którymi kontrolę przejęli cyberprzestępcy to jedno z zagrożeń o wysokim potencjale rozwoju w kolejnych latach. Specjaliści Check Point, ESET, Sophos umieszczają je w dziesiątce najpoważniejszych problemów bezpieczeństwa. Komputery stają się częścią botnetu w momencie zainfekowania szkodliwym oprogramowaniem i zdalnym uruchomieniem go przez osobę nadzorującą. Trojan ma zwykle dostęp do większości zasobów komputera, co stwarza ryzyko poniesienia wymiernych strat finansowych.

Urządzenia należące do botnetu mogą być wykorzystywane przez cyberprzestępców m.in. do rozsyłania spamu, szpiegowania, przeprowadzania ataków odmowy dostępu (DDoS - Distributed Denial of Service). Użytkownicy zainfekowanych komputerów często nie są świadomi tego, że przyczyniają się do rozsyłania niechcianych wiadomości, co w wielu krajach jest karalne. Dlatego tak ważne jest, by systematycznie przeprowadzać aktualizacje programów antywirusowych i antyszpiegowskich, dbać o poprawne działanie programowych lub sprzętowych zapór ogniowych itp.

O potędze botnetów świadczyć mogą przykłady z niedalekiej przeszłości. Przełom lat 2011/2012 zdecydowanie należał do oprogramowania Flashback. Ofiarą trojana podszywającego się pod aktualizację Flasha padły tysiące użytkowników komputerów Apple Mac. Według danych Kaspersky Lab, za sprawą Flashbacka powstał botnet obejmujący swym zasięgiem 670 tys. tych popularnych urządzeń.

W ciągu dwóch lat, wskutek działania innego botnetu (Bamital) zainfekowanych zostało ponad 8 mln komputerów. W lutym br., dzięki współpracy między firmami Microsoft i Symantec, przejęto kontrolę nad serwerami zarządzającymi botnetem i poinformowano wszystkich nieświadomych użytkowników o istniejącym zagrożeniu (na ekranie komputera wyświetlał się specjalny komunikat). Jednym z niepożądanych działań Bamitalu było podmienianie wyników wyszukiwania treści przez Google, Yahoo (i inne) i sugerowanie kliknięcia w odpowiednie reklamy.

Dużym echem odbiło się także zlikwidowanie botnetu Grum (połowa 2012 roku), odpowiedzialnego za ok. 18% światowego spamu. Według danych organizacji Spamhaus, zajmującej się walką z niechcianymi wiadomościami, w botnecie Grum mogło działać ponad 120 tys. komputerów. Większość serwerów kontrolujących Gruma znajdowała się w Panamie, Rosji i na Ukrainie, a w celu uniemożliwienia ich działania potrzebna była współpraca z dostawcami usług internetowych.

Warto dodać, że w wielu przypadkach do przejmowania komputerów wykorzystywano znany pakiet atakujący Phoenix Exploit Kit. Bardzo dużą popularnością (ciągle tworzone się nowe wersje) cieszy się również Blackhole Exploit Kit - aplikacja pozwalająca w relatywnie łatwy sposób budować złośliwe kody. Specjaliści przestrzegają, że bez większych przeszkód oprogramowanie takie można pobrać z internetu, a korzystanie z niego nie wymaga wysokich kwalifikacji.

Komputery "zombie" są często wynajmowane przez grupy przestępcze. Koszt takiej usługi jest stosunkowo niewielki (od kilkuset do kilkunastu tysięcy dolarów), natomiast straty przedsiębiorstw i szeroko pojętego biznesu z działalności botnetów liczone się w miliardach dolarów.

Botnety są również wykorzystywane do przeprowadzania ataków odmowy dostępu (DDoS ). W ten sposób można wyłączyć lub zakłócić działanie serwisu internetowego na wiele godzin. Jedną z metod walki z DDoS jest określenie pożądanego ruchu i zablokowanie niepożądanego (filtracja lokalna). Alternatywą dla filtrowania lokalnego jest usługa zewnętrzna, oferowana przez coraz większą liczbę dostawców. Przed wieloma prostszymi atakami DDoS uchronić może przekierowanie DNS na serwery usługodawcy, który po odfiltrowaniu przekaże je do firmowego serwera WWW. Eksperci przestrzegają przed bagatelizowaniem ataków DDoS, bo choć wciąż pojawiają się groźniejsze metody hakerskie, to trudno oczekiwać, by w kolejnych latach całkowicie one zanikły.