avatar it-news

Новости информационных технологий



подробнее...

Следить за персональным блогом


Автоматизированная система Промышленная безопасность и охрана труда

Обновления главной ленты блогов
Вконтакте Facebook Twitter RSS Почта Livejournal
Внимание

На нашем портале можно бесплатно публиковать информацию о своей компании, размещать товары и услуги и цены на них.
Ведите свой личный или корпоративный блог и его ежедневно увидят 30 тысяч посетителей нашего сайта.

06 декабря 2018, 12:34

Ботнет (Botnet)


2018/12/07 09:01:20

Ботнет (Botnet)

Компьютерная сеть, состоящая из некоторого количества хостов, с запущенным автономным программным обеспечением. Ботом в составе такой сети является сам компьютер с в редоносным ПО, дающим возможность злоумышленнику выполнять некие действия с использованием ресурсов заражённого ПК. Ботнеты используются для атак на сервера, подбора паролей на удаленной машине или рассылки спама.Статья:Боты

Скандально известные ботнеты

Ботнет из 5 млн Android-устройств

Китайские киберпреступники используют вредоносное ПО RottenSys для создания ботнета, который уже насчитывает порядка 5 млн Android-устройств. В своей теперешней форме вредонос используется для отображения навязчивой рекламы на экране зараженных устройств. Тем не менее, исследователи из Check Point весной 2018 года обнаружили[1] свидетельства применения злоумышленниками нового модуля на языке Lua для объединения зараженных гаджетов в одну гигантскую ботсеть[2].

По словам исследователей, ботнет предоставит киберпреступникам гораздо больше возможностей, чем простое отображение рекламы. «У этого ботнета будут расширенные возможности, в том числе незаметная установка дополнительных приложений и автоматизация пользовательского интерфейса», – пишут исследователи.

По словам экспертов, RottenSys не всегда был таким опасным. Вредонос появился в сентябре 2016 года, и большую часть времени киберпреступники занимались его распространением с целью отображения рекламы. С течением времени число зараженных устройств медленно, но верно росло и к настоящему времени достигло порядка 4 964 460.

Компонент на Lua, позволяющий операторам ботнета получать контроль над зараженными устройствами, был добавлен в RottenSys только в прошлом месяце. Пока что вредонос активен только на китайском рынке и распространяется через китайские инфицированные приложения. Большую часть ботнета составляют устройства Huawei (свыше 1 млн), Xiaomi (почти 0,5 млн), OPPO, vivo, LeEco, Coolpad и GIONEE.

По скорости заражения RottenSys превосходит большинство вредоносных программ для Android-устройств. Этим вредонос обязан двум проектам с открытым исходным кодом, опубликованным на GitHub. Первый проект, Small, представляет собой фреймворк для виртуализации приложений, а второй, MarsDaemon, делает приложения «бессмертными».

Сначала с помощью Small вредонос создает виртуальные контейнеры для своих внутренних компонентов, позволяющие им запускаться параллельно в одно и то же время. Как правило, ОС Android не поддерживает такой функционал. Затем с помощью MarsDaemon вредонос поддерживает процессы активными. Даже когда пользователь завершает их, механизм внедрения рекламы все равно не отключается.

Арест основателя ботнета Kelihos

В апреле 2017 года Министерство юстиции США сообщило о задержании российского программиста Петра Левашова, которого называют «королем спама» за создание крупного ботнета Kelihos. Левашова арестовали в Барселоне. Подробнее здесь.

Грузинский ботнет Win32/Georbot

В 2012 года компания ESET объявила об обнаружении сети зараженных компьютеров (ботнет), которая управляется через официальный сайт правительства Грузии.

В начале 2012 года специалисты ESET выявили ботнет, получивший название Win32/Georbot. По данным компании ESET, управляющие команды исходят с официального сайта правительства Грузии. Целью создания данного ботнета является похищение документов и цифровых сертификатов с зараженных компьютеров. Еще одна особенность этой вредоносной программы заключается в том, что она ищет на инфицированном ПК файлы конфигурации RDP (Remote Desktop Connection) с целью дальнейшего хищения и получения несанкционированного доступа к ним. Кроме того, бот способен создавать аудио- и видео-записи и собирать информацию о локальной сети.

На сегодняшний день ботсеть Georbot по-прежнему активна, последние ее обновления были зафиксированы 20 марта текущего года. Аналитики ESET отмечают, что Georbot имеет механизм обновлений, который позволяет ей оставаться незамеченной для обнаружения антивирусными программами. У ботнета также есть резервный механизм получения команд на случай недоступности основного командного центра – это подключение к специальной веб-странице, размещенной на одном сервере с официальным сайтом грузинского правительства.

По данным компании ESET, Win32/Georbot ориентирован в первую очередь на компьютерных пользователей Грузии. Из всех зараженных компьютеров, которые специалистам удалось обнаружить, 70% находились в Грузии, затем следует США со значительно более низким показателем (5.07%), далее идут Германия (3.88%) и Россия (3.58%).

По мнению специалистов, Win32/Georbot был разработан киберкриминальной группой, целью которой является добыча секретной информации с последующей перепродажей

По словам Пьера-Марка Бюро, менеджера по глобальному мониторингу вредоносной активности ESET, «этот факт вовсе не означает, что правительство Грузии занимается управлением данной вредоносной программой». По его словам, довольно часто организации не знают о том, что их серверы были скомпрометированы. «Однако стоит отметить, что Министерство юстиции Грузии и CERT (Команда быстрого реагирования на компьютерные инциденты) были полностью осведомлены о ситуации. Расследование данного инцидента все еще продолжается, и с нашей стороны мы не прекращаем мониторинг»», - заявил он.

Аналитикам компании ESET также удалось получить доступ к центру управления ботнетом, содержащим информацию о числе зараженных ПК, их местоположении и передаваемых командах. Среди полученной информации определенный интерес представляют ключевые слова, используемые для поиска документов, которые интересуют злоумышленников. В списке ключевых слов - министерство, служба, секретно, говорит, агент, США, Россия, ФБР, ЦРУ, оружие, ФСБ, КГБ, телефон, номер и другие.

Специалистами установлено, что такие возможности ботнета, как запись видео с помощью веб-камеры, получение снимков рабочего стола, проведение DDoS-атак были применены не один раз. Тот факт, что ботнет использовал сайт Грузии для получения команд и обновлений, а возможно и для распространения вредоносного ПО, говорит о том, что главной целью злоумышленников являются граждане Грузии.

Однако уровень технологической реализации данной угрозы является довольно низким. Вирусные специалисты ESET полагают, что если бы данная атака спонсировалась государством, то она была бы более технически продвинутой и скрытой. По мнению специалистов, Win32/Georbot был разработан киберкриминальной группой, целью которой является добыча секретной информации с последующей перепродажей.

Происхождение большинства ботнетов - США

23 июня 2015 года стало известно о выпуске компанией Level 3 Communications отчета за 1 квартал 2015 года, из которого следует - следы деятельности большинства ботнетов ведут в США[3].

Отчет посвящен ботнетам – инфицированным компьютерам, объединенным в сети и действующим без ведома их владельцев для ведения противозаконной деятельности. Согласно документу, следы большинства ботнетов ведут в США. Специалисты Level 3 Communications обнаружили в адресном пространстве Северной Америки около 20% всех управляющих серверов, откуда управляются выявленные ботнеты. Эта цифра близка совместной доле Украины и России – стран, занимающих, соответственно, второе и третье место в рейтинге Level 3 Communications.

Взаимодействие в ботнет-сети, 2013

По мнению специалистов компании, существуют две причины происходящего:

  • стабильность и надежность интернет-инфраструктуры США
  • трафик из США не вызывает подозрений.

Обращение компьютера в Великобритании, например, или Франции - к серверу в США, вызывает гораздо меньше подозрений, чем к серверам в Румынии или Украине.

Эксперты Level 3 Communications оценивают протяженность управления командными серверами кибер-преступниками, в среднем - 30 дней, прежде чем их активность пресекают местные операторы связи или правоохранители.

Последствия заражения для компании

7 неприятностей, которыми чревато вхождение компьютеров вашей компании в ботнет[4].

1. Рассылка e-mail спама с IP-адресов компании

Одним из популярных видов применения ботнетов является рассылка спама. В случае длительного вхождения компьютеров в ботнет, занимающуюся подобной активностью, IP-адреса, с которых идут рассылки писем, будут внесены в специальные базы данных, фильтрующие спам. Таким образом в значительной степени усложнится взаимодействие с контактами для бизнеса, так как все письма будут попадать в спам-папку почты.

2. DoS-атаки и DDoS-атаки с IP-адресов компании

Другим распространненым видом применения ботнетов являются DoS и DDoS-атаки. DoS (Denial of Service) — «отказ в обслуживании», часто используемая в последнее время атака на компьютерные системы с целью довести их до «отказа». В таком состоянии доступ к тем или иным сетевым ресурсам невозможен, либо значительно затруднен. Рекомендации по защите от DoS-атак можно найти здесь. DDoS (Distributed DoS) — распределенная DoS-атака, когда атака проводится не с одного компьютера, а одновременно с большого числа систем.

Соответственно, если с компьютеров вашей компании осуществляется DDoS-атака, то IP-адреса компании могут быть заблокированы различными провайдерами. В таком случае пользователи потеряют возможность иметь доступ к определенным ресурсам.

Кроме того, при большом количестве жалоб вашему провайдеру на то, что с ваших IP-адресов идет DDoS-трафик, доступ к сети Интернет может быть заблокирован совсем до выяснения обстоятельств, что вызовет простой в работе компании на неопределенное количество времени.

3. Холостая трата вычислительных ресурсов

При проведении атак тратятся ресурсы компьютера. В случаях, если компания занимается ресурсотребовательными задачами (IT-сфера, видеопроизводство, дизайн и т. д.), это может крайне сильно сказаться на времени производства конечного продукта, что ведет к потере прибыли.

4. Репутационные риски

Проведение атак с компьютеров компании может нанести значительный ущерб репутации, так как IP-адреса, с которых идет вредоносный трафик, известны как адреса, принадлежащие тому или иному бизнесу, и ассоциируются с ним.

5. Прокси-сервер для злоумышленников

Злоумышленники могут обращаться к серверам в сети Интернет, используя «зомби», и от имени зараженных машин совершать различные киберпреступления (например, пытаться взломать веб-сайты). То есть в таком случае компьютер пользователя является своего рода прокси-сервером между злоумышленником и целью атаки, скрывая адрес реального злоумышленника.

6. Балансировщик нагрузки для веб-сайтов злоумышленников

Адреса фишинговых страниц сети Интернет быстро попадают в черные списки. Ботнет дает возможность очень быстро поменять адрес фишинговой страницы, используя зараженные компьютеры в роли прокси-серверов между целью атаки и веб-сервером, на котором развернут фишинговый веб-сайт, что опять-таки маскирует реальный адрес фишингового веб-сервера.

7. Кража конфиденциальной информации

Еще одной из ключевых опасностей, поджидающих компанию, является хищение конфиденциальных данных. Нарушение конфиденциальности и получение секретной информации является одним из основных полей деятельности злоумышленников. С помощью ботнетов количество получаемой информации в виде различных паролей (для доступа к ящикам, социальным сетям, серверам компании, веб-сервисам и прочим ресурсам) и других данных пользователей увеличивается во много раз. Боту, которым заражены компьютеры в ботнете, можно дать команду: «скачать вредоносное ПО», например, «червя» с «троянским конем», ворующего пароли. В таком случае инфицированными «троянской» программой окажутся все компьютеры, входящие в локальную сеть компании, а злоумышленники смогут заполучить пароли со всех зараженных компьютерных систем. Украденные пароли могут быть перепроданы, использоваться для наполнения словарей паролей, либо для массового заражения веб-страниц (например, если удалось получить пароль от панели управления каким-либо сайтом) с целью дальнейшего распространения программы-бота для более широкого охвата ботнета.

Для компании это чревато потерей секретных, конфиденциальных данных, которые могут привести к значительной потере прибыли или компрометации компании.

Преследование организаторов ботнетов

Уголовное преследование владельцев ботнетов - пока чрезвычайно редкое событие, и количество подобных дел за последние несколько лет можно пересчитать по пальцам одной руки. Самым нашумевшим случаем остается дело Дженсона Джеймса Анчете, который с помощью сети зомбированных компьютеров распространял и устанавливал adware, то есть бесплатный софт, за пользование которым приходится расплачиваться просмотром рекламы. Причем речь шла о продукции относительно "культурной" компании - 180solutions, которая в контрактах с агентами жестко ограничивает методы распространения своих программ, дабы не навлечь бед и не вызвать недовольства пользователей. По крайней мере, так утверждали представители фирмы.

Однако двадцатилетний Анчете оказался чрезвычайно старательным партнером и использовал для инсталляции adware созданный им ботнет, насчитывающий около 400 тысяч компьютеров. Тогда в 180solutions пришли люди из ФБР и легко убедили компанию сотрудничать с ними в поимке и сборе доказательств о преступлениях Анчете. Впрочем, круг интересов последнего был гораздо шире, нежели установка adware. Хакер охотно сдавал ботнет в аренду спамерам. В число зараженных попали машины авиабазы ВМС США в Чайна-Лейк, что и привлекло внимание спецслужб и породило невиданную прежде ретивость в поимке киберпреступника. После ареста и закрытия ботнета уровень спама в общем почтовом трафике резко пошел на убыль.

По вынесенному в мае прошлого года приговору Анчете лишился свободы на 57 месяцев, вернул $60 тысяч незаконной прибыли и был оштрафован на $15 тысяч за проникновение в компьютеры военного объекта.

Еще один приговор по делу о ботнетах был вынесен уже в этом году, на сей раз в Нидерландах. Тамошний суд приговорил к тюремному заключению и штрафам в размере 4 тысяч и 9 тысяч евро двух хакеров, организовавших ботнет из нескольких миллионов компьютеров. Впрочем, сразу после оглашения приговора подсудимых отпустили, так как они уже отсидели свои сроки во время предварительного заключения.

В деле снова фигурировала 180solutions. Пару лет назад сотрудники компании заметили у одного из своих голландских агентов необычно высокий объем установок adware, заподозрили его в нарушении условий партнерского договора и попытались выйти на связь, но безуспешно. Тогда сотрудничество было прервано по инициативе 180solutions. Прекратив получать деньги, экс-агент тут же отреагировал, однако вместо того, чтобы покаяться, начал вымогать у компании причитающуюся ему, как он считал, сумму, угрожая в противном случае устроить DDoS-атаку. Когда Хакер получил отказ и перешел к действиям, 180solutions уже сама обратилась в ФБР. Компания "согласилась" с требованиями рэкетира и перевела запрашиваемые деньги на указанный банковский счет, не забыв передать реквизиты правоохранительным органам. После этого ФБР обратилось в свое юридическое представительство в Нидерландах, через которое о преступлении были проинформированы голландские власти. В ходе расследования полицейским удалось установить личности авторов Троянца W32.Toxbot, "плетущего" из компьютеров ботнеты.

В сентябре 2010 года сообщалось, что Министерство внутренних дел Германии направило 2 млн евро на осуществление государственной программы по выявлению зараженных компьютеров и помощи их владельцам в борьбе с вирусами. Технической стороной программы займется Федеральное агентство информационной безопасности и Ассоциация интернет-индустрии Германии.

В соответствии с программой, об участии в которой заявили уже пять германских провайдеров, клиентов будут уведомлять об обнаружении заражения по телефону или почте — электронной или обычной. Им будет предложены инструкции по самостоятельному удалению вирусов с компьютера либо бесплатная помощь по телефону. Программа рассчитана на год, и за это время организаторы надеются вывести Германию из десятки стран мира с наибольшей активностью ботнетов.

Отчеты об угрозах

2018

Nokia Threat Intelligence Report: рост числа IoT-ботов продолжится с распространением 5G

В ноябре 2018 года компания Nokia опубликовала отчет, согласно которому доля IoT-ботнетов среди всех вредоносных программ в сетях провайдеров услуг связи в 2018 году выросла до 78%. Это более чем в два раза превышает показатели 2016 года, когда о ботнетах стали говорить, как о значимой угрозе. Прогнозируется, что в 2019 году ситуация только ухудшится.

«

Мы еще не решили эту проблему, — говорит директор лаборатории Nokia Threat Intelligence Lab и один из авторов отчета Кевин МакНаме (Kevin McNamee). — Мы увидим, что IoT-ботнеты станут сложнее и начнут наносить больший урон.

»

В отчете также указывается, что среди всех скомпрометированных устройств в сетях провайдеров облачных сервисов 16% заражены IoT-ботами. В 2017 году таковых было 3,5%. IoT-устройства обычно не защищены брандмауэрами и антивирусным ПО, что делает их легкоуязвимыми.

В 2018 произошел взрывной рост числа IoT-ботнетов. В 2019-м станет еще хуже из-за 5G

При этом в отчете отметили уменьшение количества атак на мобильные и фиксированные сети в 2018 году по сравнению с предыдущими годами. Одной из причин является то, что киберпреступники теперь больше ориентируются на IoT- устройства, а не на смартфоны.

Отраслевые аналитики ожидают, что с распространением 5G внедрение IoT-устройств значительно ускорится. Высокая скорость передачи данных, широкий охват и низкие значения задержки сетей 5G позволяют подключать к интернету миллиарды вещей. Но отставание многих современных IoT-устройств в плане защиты и повышение технической сложности дадут злоумышленникам больше возможностей для совершения атак.

В связи с этим в отчете Nokia рассматриваются решения по обеспечению безопасности и лучшие практики. Авторы рекомендуют отслеживать сетевой трафик, чтобы обеспечить нормальное поведение устройств. Кроме того, следует обеспечить защищенную связь для IoT-устройств в плане аутентификации, целостности и конфиденциальности. Если устройство скомпрометировано, его необходимо изолировать от остальной сети.

Данные для годового отчета компании Nokia были собраны в результате мониторинга сетевого трафика на более чем 150 млн устройств во всем мире, где установлено приложение Nokia NetGuard Endpoint Security.[5]

Microsoft Security Intelligence Report

Корпорация Microsoft опубликовала в апреле 2018 года отчет об угрозах информационной безопасности Security Intelligence Report за период с февраля 2017 года. Он базируется на данных, полученных защитными программами и сервисами компании (Данные о количестве обнаруженных угроз, а не о случаях заражения). Информация была предоставлена корпоративными и частными пользователями, которые согласились делиться ей с привязкой к геолокации.

Широкое распространение ботнетов и вирусов-вымогателей привело к тому, что количество устройств в России, столкнувшихся с киберугрозами в период с февраля 2017 года по январь 2018 года, достигло 25-30% в среднем в месяц, тогда как аналогичный показатель в первом квартале 2017 года был почти в два раза меньше – 15%. Самые высокие показатели были зафиксированы в Пакистане, Непале, Бангладеше и Украине (33,2% или выше), самые низкие – в Финляндии, Дании, Ирландии и США (11,4% или ниже).

Согласно данным Windows Defender Security Intelligence, самой часто встречающейся категорией нежелательного ПО стали трояны. Процент их распространения с февраля 2017 года по январь 2018 года вырос с 6% до 10%. Показатели других видов вредоносного ПО (дропперов, обфускаторов, вирусов-вымогателей и т.д.) составили менее 1%.

В ноябре 2017 года совместно с ESET и правоохранительными органами Microsoft уничтожила командную инфраструктуру одной из крупнейших сетей по распространению вредоносного ПО – ботнета Gamarue, также известного как Andromeda; это хакерский инструмент, распространявшийся как платный сервис для киберпреступников. Отдел по расследованию цифровых преступлений Microsoft (Digital Crimes Unit, DCU) проанализировал более 44 000 образцов вредоносного кода и выяснил, что в арсенале Gamarue было более 80 различных типов вредоносного ПО. Тремя основными классами вредоносного ПО, распространявшимися через бот-сеть Gamarue, были программы-вымогатели (в частности, Petya), трояны и бэкдоры. С помощью вирусов Gamarue злоумышленники могли красть данные учетных записей, запускать в зараженных системах другие вредоносные программы, отслеживать происходящее на мониторе (движение мышки или набираемые символы на клавиатуре жертвы) и многое другое.

Из-за нарушения работы этой инфраструктуры уже в следующие три месяца количество инфицированных устройств снизилось на 30% (с 17 до 12 миллионов). Количество IP-адресов, имеющих отношение к сети Gamarue и перенаправленных на созданный совместно с органами правопорядка сервер sinkhole, в России составило 22,5 тыс. Всего в мире количество таких IP-адресов составило 29,48 млн.

Тем не менее, ботнеты продолжают оставаться серьезной угрозой для пользователей по всему миру. Microsoft активно содействует в помощи пользователям зараженных устройств в рамках деятельности ассоциации Virus Information Alliance, а также постоянно совершенствует защитные механизмы своих продуктов, используя машинное обучение для проактивной блокировки новых видов атак.

Интересные факты

  • Самый большой ботнет, зафиксированный на момент середины 2009 года, использовал в своей структуре 1,9 миллиона компьютеров. [6]
  • Для создания бот-сети размером в 80 000 машин необходимо инфицировать около одного миллиона компьютеров. [7]

Треть интернет-трафика приходится на ботов

Искусственно созданный трафик становится серьезной проблемой для рекламодателей. Так, 36% веб-трафика сгенерировано при помощи взломанных компьютеров, — об этом пишет The Wall Street Journal со ссылкой на оценку компании Interactive Advertising Bureau (IAB). Для поддельного трафика используются ботнеты, фальшивые сайты, а также посредники, личности которых установить практически невозможно.

Поддельный трафик ведет к обману рекламодателей, так как последние платят за количество обращений к рекламному материалу, независимо от того, являются ли посетители веб-страницы реальными людьми.

Источники WSJ сообщают о том, что с обманом при проведении рекламных кампаний столкнулись корпорации L’Oréal, General Motors и Verizon Communications. Отмечается, что поддельный трафик подрывает доверие рекламодателей к интернету по сравнению с традиционными медиаплощадками, в том числе по сравнению с телевидением. Роксана Баретто, помощник вице-президента по цифровому маркетингу в L’Oréal рассказывает, что `промедление представляет собой упущенную возможность наладить связи с нашей основной аудиторией`.

Сложно дать оценку размерам онлайн-мошенничества, но в компании White Ops подсчитали, что в 2013 году американским рекламодателям были нанесены убытки в размере 6 млрд долларов. Кроме того, многие факторы влияют на размер рекламных цифровых бюджетов, в том числе, это не только мошенничество, но и трудности в оценке величины аудитории.

Напомним, что в США, согласно прогнозам, рынок интернет-рекламы, включая соцсети и мобильный интернет, вырастет на 17% и достигнет 50 млрд долларов в этом году. В целом доля цифровой рекламы составит 28% от общих расходов на рекламу.

Смотрите также

Примечания

  1. RottenSys: Not a Secure Wi-Fi Service At All
  2. Китайские хакеры создали ботнет из 5 млн Android-устройств
  3. Следы большинства ботнетов ведут в США
  4. 7 бед, если в компании ботнет
  5. Nokia Threat Intelligence Report - 2019
  6. Украинские хакеры объединили в ботнет почти два миллиона компьютеров
  7. http://sa-sec.org/?p=537

Источник: http://tadviser.ru/a/53550