Przegląd największych sieci komputerów zombie ostatnich lat.
Botnet – co to jest?
Grupa komputerów zainfekowanych złośliwym oprogramowaniem (np. robakiem) pozostającym w ukryciu przed użytkownikiem i pozwalającym jego twórcy na sprawowanie zdalnej kontroli nad wszystkimi komputerami w ramach botnetu.
Kontrola ta pozwala na zdalne rozsyłanie spamu, kopanie kryptowalut oraz inne ataki z użyciem zainfekowanych komputerów.
Grum
Botnet Grum to sieć zainfekowanych komputerów, która zajmowała się głównie wysyłaniem spamu farmaceutycznego. Botnet Grum był kiedyś największym botnetem na świecie i można go było śledzić już od 2008 roku.
W momencie jego zamknięcia w lipcu 2012 roku, Grum był trzecim co do wielkości botnetem na świecie, odpowiedzialnym za 18% światowego ruchu spamowego.
Botnet Grum polegał na dwóch typach serwerów sterujących do swojego działania. Jeden typ służył do wysyłania aktualizacji konfiguracji do zainfekowanych komputerów, a drugi do przekazywania botnetowi informacji, jakie wiadomości spamowe należy wysyłać.
W lipcu 2010 roku botnet Grum składał się z około 560 000–840 000 komputerów zainfekowanych rootkitem Grum. Sam botnet dostarczył około 39,9 miliarda wiadomości spamowych w marcu 2010 roku, co stanowiło około 26% całkowitej globalnej objętości spamu, tymczasowo czyniąc go największym botnetem na świecie.
ZeroAccess
ZeroAccess to złośliwe oprogramowanie typu trojan, które infekuje systemy operacyjne Microsoft Windows. Jest używany do pobierania innych złośliwych programów na zainfekowaną maszynę z botnetu, pozostając ukrytym za pomocą technik rootkit . ZeroAccess został odkryty co najmniej około maja 2011 roku 12.
Odpowiada za różne działania na korzyść atakujących, takie jak fałszywe kliknięcia, wydobywanie bitcoinów, płatność za instalację i kradzież informacji 13. Szacuje się, że ZeroAccess zainfekował dziesiątki milionów komputerów.
W grudniu 2013 roku koalicja kierowana przez Microsoft podjęła próbę zniszczenia sieci dowodzenia i kontroli botnetu, ale była ona nieskuteczna.
ZeroAccess infekuje główny sektor rozruchowy (MBR) zainfekowanej maszyny lub losowy sterownik w C:\Windows\System32\Drivers, dając mu pełną kontrolę nad systemem operacyjnym. Wyłącza również Centrum zabezpieczeń Windows, Zapory Windows i Windows Defender z systemu operacyjnego. ZeroAccess podłącza się również do stosu TCP/IP, aby pomóc w fałszywych kliknięciach. Oprogramowanie to wyszukuje również złośliwe oprogramowanie Tidserv i usuwa je, jeśli je znajdzie.
Kraken
Botnet Kraken to program szpiegujący, który atakuje systemy Microsoft Windows i Apple Macintosh za pomocą poczty elektronicznej i stron internetowych, takich jak portale społecznościowe. Botnet Kraken był największym botnetem na świecie (stan na kwiecień 2008 r.) i był wykorzystywany przez przestępców do generowania spamu. Botnet Kraken został odkryty przez firmę Damballa i nazwany tak od mitycznego potwora.
Botnet Kraken składa się z komputerów osobistych, które zostały zainfekowane specjalnym oprogramowaniem, które zmienia je w zombie pod kontrolą głównego programu – bota. Boty komunikują się ze sobą i z serwerami kontrolnymi za pomocą szyfrowanego protokołu. Boty mogą pobierać i instalować dodatkowe złośliwe oprogramowanie, takie jak keyloggery, rootkity lub ransomware. Boty mogą również wysyłać spam lub atakować inne strony internetowe metodą DDoS.
Botnet Kraken jest ciągle rozwijany i ulepszany przez jego twórców. W październiku 2021 r. firma ZeroFox Intelligence odkryła nową wersję botnetu, która kradnie dane z systemów Windows. Botnet Kraken jest znany ze swojej prostej funkcjonalności, ale już zaczął przynosić 3 tys. dolarów miesięcznego zysku dla swoich właścicieli .
Windigo
Botnet Windigo to szeroko zakrojona kampania cyberprzestępcza, która przejęła kontrolę nad ponad 25 tysiącami serwerów Unix na całym świecie.
Botnet Windigo wysyłał miliony spamowych wiadomości e-mail, zarażał komputery odwiedzające zainfekowane strony internetowe i kradł informacje.
Został odkryty w 2014 roku przez badaczy z firmy ESET, we współpracy z CERT-Bund, Szwedzką Narodową Infrastrukturą Obliczeniową i innymi agencjami. W 2019 roku FBI, dzięki pomocy ESET, pojmało jednego z twórców botnetu Windigo.
Storm
Botnet Storm to zdalnie sterowana sieć komputerów „zombie”, która została połączona przez Storm Worm, konia trojańskiego rozpowszechnianego przez spam e-mailowy.
Botnet był aktywny od stycznia 2007 do połowy 2008 roku i w szczytowym momencie kontrolowała od 1 do 50 milionów zainfekowanych komputerów. Botnet Storm był wykorzystywana do wysyłania spamu, przeprowadzania ataków DDoS, kradzieży danych i innych cyberprzestępstw.
Był znany z używania zmyślonych i prowokacyjnych tematów e-maili, takich jak „230 zabitych przez burzę w Europie” czy „Sekretarz stanu USA Condoleezza Rice kopnęła kanclerz Niemiec Angelę Merkel”.
Botnet Storm był również zdolny do obrony przed próbami śledzenia i wyłączania jej przez atakowanie operacji online niektórych dostawców i badaczy bezpieczeństwa, którzy próbowali ją zbadać.
Twórcy botnetu Storm nie zostali dotąd zidentyfikowani ani aresztowani.
Cutwail
Botnet Cutwail to sieć złośliwego oprogramowania, która infekuje komputery z systemem Windows i wykorzystuje je do wysyłania spamu lub przeprowadzania ataków DDoS.
Został odkryty w 2007 roku i jest rozpowszechniany przez trojana Pushdo, który przenika przez złośliwe e-maile. Był największym botnetem pod względem liczby zainfekowanych systemów w 2009 roku.
Botnet Cutwail jest również związany z innymi złośliwymi programami, takimi jak Zeus i FakeAV, które są pobierane przez Pushdo. Botnet Cutwail stanowi poważne zagrożenie dla bezpieczeństwa i prywatności użytkowników internetu.
Srizbi
Botnet Srizbi to sieć złożona z zainfekowanych komputerów, które są wykorzystywane do wysyłania spamu.
Srizbi pojawił się po raz pierwszy w 2007 roku i był odpowiedzialny za około połowę wszystkich spamowych wiadomości e-mail na świecie w tamtym czasie. Srizbi był również używany do rozsyłania politycznego spamu promującego kandydata na prezydenta USA Rona Paula.
Botnet został zdezaktywowany w 2008 roku, gdy firma hostingowa McColo została zamknięta przez dostawców Internetu.
Jednak niektórzy eksperci twierdzą, że Srizbi może być nadal aktywny i stanowić zagrożenie dla bezpieczeństwa.
Metulji i Mariposa
Botnety Metulji i Mariposa to dwa z największych botnetów w historii, które zainfekowały ponad 10 milionów komputerów każdy.
Botnet Metulji, co po słoweńsku oznacza motyl, został stworzony przez grupę hakerów znaną jako Iserdo. Metulji wykorzystywał lukę w systemie Windows, która pozwalała na zdalne wykonanie kodu przez złośliwe pliki JPEG. Metulji był używany do kradzieży haseł, numerów kart kredytowych i numerów ubezpieczenia społecznego o łącznej wartości milionów dolarów. Hakerzy sprzedawali także dostęp do zainfekowanych komputerów innym przestępcom. W 2010 roku policja aresztowała czterech członków grupy Iserdo w Słowenii i Hiszpanii.
Botnet Mariposa, co po hiszpańsku oznacza motyl, został stworzony przez grupę hakerów znanych jako DDP Team. Mariposa wykorzystywał różne metody infekcji, takie jak fałszywe oprogramowanie antywirusowe, spam, sieci społecznościowe lub pamięci USB. Mariposa był używany do kradzieży danych osobowych, bankowych i firmowych z ponad 190 krajów Hakerzy także wynajmowali zainfekowane komputery innym grupom, takim jak chińska armia cybernetyczna.
W 2010 roku policja aresztowała trzech członków grupy DDP Team w Hiszpanii.
Trochę historii.
2 listopada 1988 został uruchomiony robak Morris Worm, który potrafił automatycznie infekować inne systemy wykorzystując Internet. Zainfekował ponad 6 tys. komputerów, co stanowiło około 10% całego ówczesnego Internetu. Straty oszacowano na 10 do 100 mln dolarów. Sprawca przyznał się do winy i został skazany na 3 lata obserwacji sądowej, 400 godzin prac społecznych i grzywnę w wysokości 10 tys. dolarów amerykańskich.
Pierwsze prawdziwe sieci typu botnet powstały w 1993 roku. Robaki te łączyły się z siecią IRC i były kontrolowane za pomocą przesyłanych przez tę sieć komunikatów. Jest to ciągle najpopularniejsza, choć już nie jedyna, droga kontrolowania botnetów.
W styczniu 2007 roku został zidentyfikowany Storm botnet. Na podstawie danych z września 2007 stwierdzono, iż ma możliwość odcięcia od internetu całego kraju i posiada potencjalną możliwość wykonywania większej liczby obliczeń na sekundę, niż najlepsze superkomputery. 22 kwietnia 2009 firma Finjan poinformowała, iż botnet składa się przynajmniej z 1,9 miliona przejętych komputerów.
Największy botnet w historii powstał w maju 2009 roku – BredoLab zainfekował ponad 30 mln komputerów. Częściowo unieszkodliwiono go w październiku 2010 roku.
Botnet zainfekowany trojanem bankowym Zeus, zawierający 4,5 mln komputerów, FBI zniszczyło w grudniu 2011 roku aresztując 90 osób.
Do tamtego czasu dzięki temu botnetowi skradziono 70 mln $. W kwietniu 2012 roku na komputerze Edwarda Pearsona znaleziono dane o 200 000 kontach PayPal, 2 701 numerach kart kredytowych, 8 000 pracownikach Nokii i dane osobowe ponad 8 000 000 mieszkańców Wielkiej Brytanii.
Były one warte 800 000 funtów (jednak haker zarobił na nich tylko 2351 funtów), a zdobyto je przy pomocy Spyeye i właśnie Zeusa.
Oba trojany połączyły się w kwietniu 2011 roku, a miesiąc później w kodzie pierwszego z nich znaleziono błędy i 4 miesiące później udostępniono za darmo w sieci.
W lipcu 2011 roku zidentyfikowano wersję Zeusa atakującą system Android.
Specyfika działania
Pojedynczy komputer w takiej sieci nazywany jest komputerem zombie. Całkowitą liczbę komputerów zombie na świecie szacuje się na kilka milionów – nie można jej dokładnie określić, ponieważ stale rośnie.
Robaki rozprzestrzeniają się wykorzystując różne błędy w oprogramowaniu lub niewiedzę użytkowników komputerów.
Obecnie, oprócz najbardziej popularnej poczty elektronicznej, nowe robaki rozsyłają się także wykorzystując komunikatory internetowe jak np. Gadu-Gadu, MSN Messenger, ICQ, Konnekt, Jabber, Tlen.pl czy AIM.
Specjaliści wskazują na tendencję do tworzenia coraz mniejszych, a przy tym zdecydowanie trudniejszych do wykrycia botnetów.
Już botnet składający się z około 3000-7000 komputerów może stać się przyczyną poważnych zagrożeń, jeśli tylko komputery do niego podłączone dysponują odpowiednio szybkim połączeniem z Internetem.
Zagrożenia
Scalenie nawet kilkunastu komputerów podłączonych do Internetu może stanowić poważną broń w rękach crackera. Taka sytuacja czyni botnety największym zagrożeniem współczesnego Internetu i stawia w stan gotowości całą branżę komputerową.
W sieci do tej pory krążą robaki, które mogą być usunięte nawet przez najprostsze, często darmowe programy antywirusowe, co daje wyobrażenie o tym, jak wiele komputerów jest kompletnie niezabezpieczonych.
Czasem nawet samo podłączenie “bezbronnej maszyny” do Internetu w celu ściągnięcia programu antywirusowego, bądź osobistej zapory sieciowej może skończyć się infekcją.
W większości przypadków botnety są wykorzystywane do:
Ataki typu DoS lub DDoS stały się groźną bronią w rękach przestępców wymuszających haracze za odstąpienie od ataku (co w przypadku firm zależnych od połączenia sieciowego jak np. portale czy sklepy internetowe stanowi niemałe zagrożenie).
Do zwalczania tego zagrożenia potrzebna jest współpraca wielu ekspertów.
Przykładem takiej udanej współpracy ekspertów z firm Kaspersky Lab, Microsoft oraz Kyrus Tech jest doprowadzenie w roku 2011 do skutecznego wyłączenia sieci zainfekowanych komputerów znanej pod nazwami Kelihos oraz Hlux
