Mik azok a botnetek, és hogyan alakíthatja a számítógépéből hackerek fegyverét?

Egy nap a számítógépe furcsán kezd el viselkedni. Lassabb, mint általában, a ventilátorok váratlanul teljes erővel forognak, és bár nem csinál semmi megterhelőt, úgy tűnik, valami a háttérben a rendszer erőforrásait használja. Sajnos nagy valószínűséggel Ön akaratlanul is botnet részévé vált— a kiberbűnözők arzenáljának egyik legveszélyesebb fegyverévé.

Mi az a botnet?

A botnet fertőzött számítógépek és eszközök hálózata, amelyeket titokban vezérel egy támadó (gyakran „botmester”-ként emlegetik). A név a „robot” és „network” (hálózat) szavak összekombinálásával jött létre, ami találóan írja le annak lényegét— számítógépes „robotok” hadserege, akik készen állnak teljesíteni a mesterük parancsait.

Minden fertőzött számítógépet a hálózatban „bot”-nak vagy „zombinak” hívnak. Az, ami a botneteket olyan veszélyessé teszi, az a kollektív erejük. Míg egy fertőzött számítógép potenciálja korlátozott, több ezer vagy akár millió összekapcsolt eszköz hatalmas számítási erőt teremt, amit különféle rosszindulatú tevékenységekre lehet kihasználni.

Hogyan válik a számítógépe a botnet részévé?

A folyamat, amely során a számítógépe engedelmes „bottá” változik, a malware fertőzéssel kezdődik.

Számos gyakori módja van ennek:

• Adathalász e-mailek - Látszólag legális e-mailt kap egy hivatkozással vagy csatolmánnyal, amely rosszindulatú kódot tartalmaz.
• Drive-by letöltések - Meglátogat egy kompromittált weboldalt, amely automatikusan letölt és telepít malware-t anélkül, hogy tudna róla.
• Sérülékeny szoftver - A támadók kihasználják az alkalmazásokban vagy az operációs rendszerben lévő biztonsági hiányosságokat, amelyeket nem frissítettek.
• Szociális mérnökség - Ráveszik, hogy telepítsen egy programot, amely valójában egy trójai faló, amely hátsó ajtót biztosít a támadók számára.

A sikeres fertőzés után a rendszerében elhelyezkedő malware többnyire észrevétlen marad. Úgy tervezték, hogy rejtve maradjon az antivirus programok és a felhasználók elől. Ezután kapcsolódik egy ún. command and control (C&C) szerverhez—a központi csomópont, ahonnan a botmester irányítja az egész hálózatot.

Hogyan használják a támadók a fertőzött számítógépeket?

Miután a botnet létrejött, különböző rosszindulatú tevékenységekre használható. Az alábbiakban a legismertebbeket tárgyaljuk.

DDoS támadások (Distributed Denial of Service)

A botnetek legismertebb felhasználása a DDoS támadások. Ebben az esetben a támadó utasítja a hálózat összes botját, hogy egyidejűleg küldjenek kérdéseket egy konkrét webszolgáltatásra vagy szerverre. A masszív mennyiségű forgalom túlterheli a célzott szervert, amely így képtelenné válik a legitim kérdések feldolgozására.

Például a Mirai botnet 2016-ban az egyik legnagyobb DDoS támadást okozta a történelemben, amikor rövid időre kiesett a szolgáltatásból több jelentős internetes szolgáltatás, beleértve a Twittert, a Netflixet és a Redditet is.

Spam terjesztés és malware szórás

A számítógépe felhasználható nemkívánatos e-mailek küldésére vagy további malware terjesztésére. Így a támadók spammelt terjeszthetnek anélkül, hogy felfednék valódi identitásukat, mivel az e-maileket legitim, ámde kompromittált számítógépek küldik.

Érzékeny adatok lopása

A botnet funkciókkal felszerelhető, mint a billentyűleütések követése, képernyőképek készítése vagy a fájlok keresése. Ez lehetővé teszi a támadók számára, hogy ellopják a jelszavakat, hitelkártyaszámokat, személyes adatokat vagy üzleti titkokat.

Kriptovaluták bányászása

Az elmúlt években népszerűvé vált a botnetek számítási kapacitásának kriptovaluták bányászására (cryptojacking) való felhasználása. Az Ön számítógépe a háttérben Bitcoint, Monerot vagy más kriptovalutákat bányászhat, miközben az összes nyereség a támadó zsebébe kerül. Közben Ön a megnövekedett áramfogyasztást és csökkentett teljesítmény miatt szenved.

Botnetek bérbeadása

Sok bűnöző még más kiberbűnözőknek is bérbe adja botneteit – ezt „Botnet-as-a-Service”-nek (BaaS) hívják. Díj ellenében szinte bárki bérelhet botnetet saját rosszindulatú céljaira, anélkül, hogy rendelkeznie kellene a szükséges technikai ismeretekkel annak létrehozásához.

Ismert botnetek és azok hatásai

A botnetek története tele van pusztító hálózatok példáival, amelyek jelentős károkat okoztak.

Conficker

A Conficker, amely 2008 végén bukkant fel, gyorsan az egyik leghíresebb botnetté vált a kiberbűnözés történetében. A 2009-es aktivitása csúcsán világszerte több mint 10 millió Windows számítógépet fertőzött meg, amely így az egyik legnagyobb botnet hálózattá vált minden időkben.

A Confickert különösen veszélyessé tette az a képessége, hogy folyamatosan frissíteni tudta magát és védekezni a felismerés ellen. A malware blokkolta a hozzáférést a biztonsági weboldalakhoz, megakadályozta frissítések letöltését, és haladó funkciókkal rendelkezett a nyomok eltüntetésére.

Annak ellenére, hogy ellene különleges munkacsoportot (Conficker Working Group) hoztak létre, amelyben jelentős biztonsági cégek voltak, a Conficker még ma is részben aktív, bár sokkal kisebb léptékben.

Gameover Zeus

A Gameover Zeus 2011 körül jelent meg és gyorsan az egyik legrettegettebb pénzügyi malware-vé vált. Banki adatok és jelszavak lopására specializálódott, és becslések szerint több mint 100 millió dollár pénzügyi kárt okozott.

Elődeitől eltérően titkosított peer-to-peer kommunikációs hálózatot használt hagyományos C&C szerverek helyett, ami nagyban nehezítette annak felfedezését és eltávolítását. Ez a botnet gyakran kötődött a CryptoLocker zsarolóvírushoz, amely az áldozatok fájljait titkosította és váltságdíjat követelt.

2014-ben nagy szabású nemzetközi műveletre került sor „Operation Tovar” néven, amely során több ország bűnüldöző szervei időlegesen megzavarták a botnet infrastruktúráját. Létrehozóját, az orosz Evgenij Bogačevet megvádolták, és még mindig az FBI körözési listáján van, 3 millió dollár jutalommal azok számára, akik információt adnak az elfogásához.

Mirai

A 2016-ban megjelent Mirai alapvető változást hozott a botnetek koncepciójában, amikor főként IoT-eszközökre, mint kamerákra, routerekre és babamonitorokra összpontosított. A botnet egyszerű, de hatékony stratégiát alkalmazott – szisztematikusan végigpásztázta az internetet, és megpróbált betörni az eszközökre egy alapértelmezett bejelentkezési adatok adatbázisának segítségével.

Mivel sok felhasználó soha nem változtatja meg a gyári beállításokat, ez a megközelítés meglepően sikeres volt. A Mirai világszerte figyelmet keltett, amikor 2016. október 21-én masszív DDoS támadást indított a Dyn cég, a DNS-szolgáltatók ellen.

A támadás ideiglenesen kivonta a forgalomból a jelentős internetes szolgáltatásokat, beleértve a Twittert, a Netflixet, a Redditet és sok más szolgáltatást. A Mirai legsokkolóbb vonása az volt, hogy forráskódját online közzétették, ami több követő és utánzó létrejöttéhez vezetett.

Ily módon a Mirai szinte új korszakot indított el az IoT botnetek terén, amelyek a gyakran elégtelenül biztosított IoT eszközök növekvő száma miatt továbbra is jelentős fenyegetést jelentenek.

Emotet

Az Emotet 2014-ben jelent meg, mint viszonylag egyszerű banki trójai program, de fokozatosan kidolgozott egy moduláris infrastruktúra szintű malware terjesztési eszközt. „A világ legveszélyesebb malware-jének” nevezték egészen a 2021. januári nemzetközi rendőrségi műveletig való szétszereléséig.

Legfőbb ereje az e-maileken keresztül történő terjesztésben volt, amelyek gyakran rosszindulatú dokumentumokat tartalmaztak, és szociális mérnökséget alkalmaztak az áldozatok meggyőzésére a makrók engedélyezéséről.

Az Emotet „malware-as-a-service” -ként működött, és más kiberbűnözők számára is kiadták rosszindulatú szoftverek terjesztésére, beleértve olyan zsarolóvírusokat, mint a Ryuk, vagy banki trójaiakat, mint a TrickBot. Modularitása lehetővé tette az üzemeltetők számára, hogy az adott célpont számára szabják az támadást, és folyamatosan változtassák a taktikákat a felfedezés elkerülése érdekében.

Bár 2021 januárjában semlegesítve lett nyolc ország rendészeti szerveinek koordinált akciója által (beleértve Hollandiát, Németországot és az USA-t), fennáll annak a veszélye, hogy a jövőben újra megjelenhet, csakúgy, mint sok más botnet tette korábban.

Hogyan állapítható meg, hogy a számítógép botnet részévé vált?

A botnet felismerése nehéz lehet, mivel a modern malware-ket úgy tervezték, hogy rejtve és észrevétlen maradjanak. Figyelmeztető jeleket kell keresni, ha a számítógép látszólag ok nélkül lassul, a ventilátor gyakran teljes erővel forog, még akkor is, ha normál munkát végzünk, vagy amikor szokatlan hálózati tevékenységet tapasztalunk, amikor a számítógépet nem használják aktívan.

További figyelmeztető jelek lehetnek a böngészők szokatlan viselkedése, mint pl. a váratlan átirányítások vagy önkéntelen új lapok megnyitása. Gyanakodni érdemes bármilyen megmagyarázhatatlan rendszerbeállítás változás esetén, szokatlan rendszeresemények vagy a hibaüzenetek megnövekedett gyakorisága tekintetében is.

Nagyon riasztó jele az is, ha az ön közösségi hálózati kapcsolatai üzeneteket kapnak, amelyeket Ön tudatosan nem küldött el – ez jelezheti, hogy a támadók hozzáfértek az ön fiókjaihoz, vagy hogy az ön számítógépe aktívan terjeszti a malware-t.

Hogyan védjük meg eszközünket a botnettől?

A megelőzés mindig jobb, mint a gyógyítás, különösen ha botnetekről van szó. Az alábbiakban összegyűjtöttünk néhány módszert, hogy megvédhesse eszközeit.

Tartsa naprakészen a szoftvereket

A rendszeres frissítések az operációs rendszerben és az alkalmazásokban alapvetőek. A szoftvergyártók rendszeresen adnak ki biztonsági javításokat, amelyek kijavítják azokat a sebezhetőségeket, amelyeket kihasználhatnának az eszközének megfertőzésére.

Használjon erős jelszavakat és kétfaktoros hitelesítést

Erős, egyedi jelszavak minden fiókhoz és a kétfaktoros hitelesítés jelentősen csökkenti az engedély nélküli hozzáférés kockázatát. Fontolja meg egy jelszókezelő használatát, amely segít áttekinteni a bejelentkezési adatait. Használhat hitelesítési alkalmazásokat is.

Legyen körültekintő az e-mailek megnyitásakor és a fájlok letöltésekor

Ne nyissa meg az ismeretlen feladóktól származó e-mailek mellékleteit vagy linkjeit. Akkor is, ha az e-mail úgy tűnik, hogy ismert személytől származik, ha váratlan vagy gyanús, ellenőrizze annak hitelességét más kommunikációs csatornán. Például hívja fel az illetőt vagy vegye fel vele a kapcsolatot közösségi médián keresztül.

Csak megbízható forrásokból telepítsen szoftvert

Csak hivatalos áruházakból vagy közvetlenül a gyártói weboldalakról töltsön le és telepítsen alkalmazásokat. Kerülje a kalóz szoftvereket, amelyek gyakran tartalmaznak rosszindulatú programokat.

Használjon minőségi biztonsági szoftvert

Fektessen be egy biztonsági megoldásba, amely valós idejű védelmet nyújt különféle típusú fenyegetések ellen. Ugyanakkor rendszeresen végezzen teljes rendszerellenőrzést.

Biztosítsa otthoni hálózatát

Változtassa meg az alapértelmezett bejelentkezési adatokat a routerén, használjon WPA3 titkosítást, ha elérhető, és rendszeresen frissítse a router firmware-t.

Mit tegyek, ha a számítógépem fertőzött?

Ha gyanítja, hogy számítógépe egy botnet része, a következő lépések segíthetnek:

1. Kapcsolja le az eszközt az internetről, hogy ne tudjon tovább kommunikálni a C&C szerverrel vagy káros tevékenységeket végrehajtani.
2. Változtassa meg minden jelszavát egy másik, nem fertőzött eszközről.
3. Indítsa el a teljes rendszerellenőrzést egy antivírus szoftverrel biztonságos üzemmódban, amely korlátozza a rosszindulatú szoftverek védekező képességét.
4. Használjon kifejezetten botnetek eltávolítására szolgáló eszközöket, amelyeket megbízható biztonsági vállalatok nyújtanak.
5. Fontolja meg az operációs rendszer újratelepítését súlyos fertőzés esetén. Ez a legmegbízhatóbb módja az ellenálló rosszindulatú szoftverek eltávolításának, bár időigényes.

Emlékezzen, hogy a botnetek elleni harcban mindannyian egy hajóban evezünk. Minden számítógép, amely nincs biztosítva, fegyverré válhat a kiber bűnözők kezében. Megvédheti magát azonban, mégpedig az internetes böngészés közbeni körültekintéssel és minőségi antivírus programok telepítésével.