Co to są botnety?

Gray computer shift key 1

Botnetem nazywamy grupę komputerów zarażonych specjalną odmianą wirusa. Działając pod kontrolą twórcy szkodnika (botmastera), sieć wykonuje określone zadania bez wiedzy użytkowników zarażonych komputerów (zwanych zombie).

Botmaster może wykorzystywać moc obliczeniową komputerów swojej sieci zombie do różnych celów. Twórca szkodnika całkowicie kontroluje wszystkie skompromitowane komputery. Ma pełny dostęp do zapisanych danych i bez wiedzy użytkownika może korzystać z połączenia internetowego.

Otwiera to przed przestępcą zarządzającym siecią zombie całą paletę możliwości. Komputery można wykorzystywać jako serwery proxy, co umożliwia ukrycie tożsamości atakującego. W zależności od rozmiarów botnetu może używać do przeprowadzania ataków różnych adresów IP i zmieniać je nawet co sekundę. Ponadto komputery zombie nadają się idealnie do rozprzestrzeniania złośliwego kodu lub wysyłania spamu.

Typowe botnety osiągają rozmiary od kilkuset do wielu setek tysięcy zainfekowanych maszyn. Tak liczną armie komputerów z łatwością można wykorzystać do przeprowadzenia wycelowanego ataku DDoS (Distributed Denial of Service). Polega on na zarzuceniu wybranego serwera stron lub poczty masową ilością zapytań. Odpowiednio duża ilość komputerów zombie potrafi spowodować unieruchomienie takiego serwera ze względu na przeciążenie zapytaniami. Przestępcom pachnie to oczywiście wymuszeniem opłaty za odblokowanie usługi.

Często spotyka się wykorzystywanie komputerów zombie jako serwery stron lub FTP. Może to służyć m. in. tworzeniu zarażonych stron internetowych lub też serwisów hakerskich lub pornograficznych na konto posiadacza zarażonej maszyny.

Zarządzanie i koordynowanie działań sieci komputerów zombie może odbywać się na różne sposoby. Pierwsze botnety były centralnie zarządzane, obecnie stawia się na zdecentralizowaną strukturę komunikacji przypominającą zasadą działania sieci wymiany plików P2P (Peer-to-Peer). Utrudnia to namierzenie i zlikwidowanie botnetu, ponieważ nie istnieje jeden centralny komputer, którego likwidacja położy kres działaniu całej sieci. Zamiast tego wszystkie komputery komunikują się ze sobą nawzajem, co znacznie poprawia stabilność danego botenetu.

 

Nowe komputery zombie rekrutowane są w różny sposób. Oprócz wysyłki zarażonych wiadomości pocztowych, przestępcy wykorzystują również popularne strony internetowe skompromitowane przez hakerów przy wykorzystaniu luk w systemach operacyjnych lub oprogramowaniu. Infekcja odbywa się metodą „drive-by”, czyli podczas odwiedzania strony.

Tworzenie i obsługa botnetów jest obecnie jedna z najbardziej dochodowych gałęzi przestępczości internetowej. Z jednej strony dzięki dużej ilości cennych danych wykradanych z zarażonych komputerów, z drugiej zaś dzięki wpływom z odpłatnego udostępniania wydajności botnetów osobom trzecim, np. w celu dystrybucji spamu.