Botnet kontra bezpieczeństwo

Botnet kontra bezpieczeństwo

Czy zastanawialiście się kiedyś jak wygląda wasza strona www od drugiej (programistycznej) strony? Dziś „botnet kontra bezpieczeństwo”. Temat może mało ważny na pierwszy rzut oka, ale w rzeczywistości stanowi on duże zagrożenie dla naszych stron www, blogów i portali. Jak więc walczyć z wiatrakami? Zacznijmy od początku…

Holenderski botnet

Muszę się przyznać, że do napisania tego artykułu, sprowokował mnie inny wpis o tej akcji na portalu thehackernews.com. Otóż wyobraźcie sobie, że połączona operacja służb bezpieczeństwa USA i tej pochodzącej z Holandii, zatrzymała (jeden z wielu) pewien botnet¹. Przestępcza sieć proxy zasilana tysiącami zainfekowanych urządzeń internetu rzeczy (IoT²) i urządzeń wycofanych z eksploatacji (EoL³), wykonywała włamania na życzenie przestępców w kraju i poza nim.

Żeby było ciekawiej, zatrzymano również cztery osoby narodowości kazachskiej (prawdopodobnie Rosjan z ich paszportem), jako właścicieli domeny, która sprzedawała usługę. Zaraz, zaraz… Jaką usługę? Ano…

Wszystko jest na sprzedaż

Tak, nie przesłyszeliście się. Właściciele domeny sprzedawali „usługę włamania” (użyczenia adresów ip) w internecie. Departament Sprawiedliwości zauważył, że użytkownicy płacili miesięczną opłatę abonamentową wynoszącą od 9,95 do 110 dolarów. Przyniosło to cyberprzestępcom ponad 46 milionów dolarów zysku w postaci sprzedaży dostępu do zainfekowanych routerów. Cały proceder trwał od 2004 roku.

Według najnowszych badań, wykonanych przez Lumen Technologies – Black Lotus Labs, średnio tygodniowo, 1000 unikalnych botów łączy się z infrastrukturą C2⁴ w Turcji. Ponad połowa ofiar znajduje się w Stanach Zjednoczonych, a kolejne dwa miejsca zajmują Kanada i Ekwador.

Komputery i urządzenia były zainfekowane malewarem o nazwie TheMoon. Jak poinformowało FBI, nie wymagało ono hasła do przejętych routerów. Skanowało za to otwarte porty i wysyłało polecenia do podatnego skryptu. Następnie łączyło się z C2 (np. w Turcji).

W późniejszym czasie były one używane do przeprowadzania oszustw reklamowych, ataków DDoS⁵ i ataków siłowych (Brute Force⁶) oraz wykorzystywania danych ofiar

Jak się nie dać

Aby ograniczyć ryzyko stwarzane przez takie botnety proxy, użytkownikom zaleca się regularne restartowanie routerów, instalowanie aktualizacji zabezpieczeń oraz zmianę domyślnych haseł. Niezbędna jest również aktualizacja do nowszych modeli po osiągnięciu statusu EoL przez IoT.

W przypadku własnych stron www, blogów i portali, zaleca się regularne aktualizowanie wtyczek (w przypadku korzystania z CMS lub dodatkowych bibliotek). Miło by było, byśmy również pamiętali o odpowiednio długim i trudnym haśle dostępu. Poza tym warto się zastanowić nad zabezpieczeniem typu 2FA⁷. Z pewnością nie zaszkodzi, a pozwoli nam to również spać spokojniej.

Podsumowanie

Jak sami przeczytaliście powyżej, botnet -y stanowią poważne zagrożenie w cyberprzestrzeni jak i w naszym codziennym życiu. Mogą spowodować przejęcie naszych urządzeń i informacji oraz posłużenie się nimi do dalszych niecnych celów.

Teraz pewnie powiecie – mnie to nie dotyczy. Otóż muszę Was zmartwić. Owszem, bo dotyczy. Jeśli macie własną stronę www, blog lub portal, to zajrzyjcie czasem „na zaplecze”. Gwarantuje Wam że się lekko zdziwicie. Sam mam średnio kilkadziesiąt prób włamań przy pomocy botów. Do tego mnóstwo maili ze spamem. Jakby tego było mało, to jeszcze latają scrapery⁸ od AI. Jednym słowem – dzieje się, oj dzieje…

Tym optymistycznym akcentem zakończę ten artykuł, ale oczywiście jak zwykle zachęcam do komentowania (jeśli nie pod artykułem, to na kanale „X”). Trzymajcie się cieplutko i…

Do następnego!

1. Botnet – grupa komputerów lub urządzeń zainfekowanych szkodliwym oprogramowaniem, pozostającym w ukryciu przed użytkownikiem i pozwalającym jego twórcy na sprawowanie zdalnej kontroli nad wszystkimi komputerami (urządzeniami) w ramach botnetu. Kontrola ta pozwala na zdalne rozsyłanie spamu oraz wykonywanie innych ataków ↩︎
2. IoT – (internet of things – internet rzeczy) – koncepcja, wedle której jednoznacznie identyfikowalne przedmioty mogą pośrednio albo bezpośrednio gromadzić, przetwarzać lub wymieniać dane za pośrednictwem inteligentnej instalacji elektrycznej KNX lub sieci komputerowej ↩︎
3. EoL – (end of life – zakończenie okresu wsparcia) – urządzenia, którym skończył się okres wsparcia przez producenta. Dotyczy to zarówno nowych sterowników, cyberzabezpieczeń jak i wymiany podzespołów. ↩︎
4. C2 (command-and-control) – centrum dowodzenia i zarządzania. ↩︎
5. DDoS – (distributed denial of service – rozproszona odmowa usługi) – atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania, poprzez zajęcie wszystkich wolnych zasobów, przeprowadzany równocześnie z wielu komputerów (np. zombie). ↩︎
6. Brute Force – technika łamania haseł lub kluczy kryptograficznych, polegająca na sprawdzeniu wszystkich możliwych kombinacji. Metoda ta ma jednak dużą złożoność obliczeniową, w związku z czym dla odpowiednio długich kluczy złamanie tą metodą jest praktycznie niemożliwe ↩︎
7. 2FA – (two factor authentication – uwierzytelnianie dwuskładnikowe) – może polegać na podaniu hasła jednorazowego (ang. one-time password, OTP) przy logowaniu się np. do poczty elektronicznej ↩︎
8. Scraper – narzędzie AI do zbierania danych z innych stron www – z reguły bez zezwolenia jej właściciela. ↩︎