Сегодня ботнеты являются одной из самых больших угроз в Интернете. Они становятся еще опаснее из-за активного внедрения в повседневную жизнь Интернета вещей (IoT), поскольку количество устройств, которые можно сравнительно легко взломать и использовать не по назначению, неуклонно растет.

Что такое ботнет?

Ботнет – это используемая в преступных целях сеть, состоящая из огромного числа слабо защищенных компьютеров или целых локальных сетей, которые заражены вредоносными программами, либо с помощью автоматических атак через Интернет. Пользователи таких компьютеров, как правило, не знают, что их ПК управляются удаленно. До недавнего времени ботнет состоял из настольных компьютеров, но теперь киберпреступникам удалось включить в него взломанные IP-камеры, смартфоны, телевизоры и другие умные устройства.

Как управляют ботнет-сетью и через какие устройства осуществляются атаки?

Вредоносное ПО позволяет злоумышленнику получить полный контроль над операционной системой. При этом компьютер действует как робот (бот). Зараженные компьютеры, в основном, контролируются так называемыми командными и управляющими серверами (C&C серверами). Если компьютер, входящий в ботнет плохо защищен, то злоумышленник обычно становится администратором и получает полный контроль над всеми данными, приложениями, службами и IT-системами, доступ к которым возможен через зараженную машину. Злоумышленник может не только удаленно просматривать и манипулировать данными, он также может полностью контролировать и использовать компьютер для конкретных преступных целей (рассылка спама, распространение вредоносных программ, хранение незаконных файлов или DDoS-атаки). Хакеры также могут использовать вычислительную мощность зараженных машин.

В последнее время основой для ботнетов становятся устройства Интернета вещей (IoT), мобильные устройства, а также IP-камеры и умные телевизоры, так как их производители не уделяют должного внимания защите и безопасности.

Типы атак ботнетов

  • Распределенный отказ в обслуживании (превращает интернет-устройства в ботов для запуска DDoS-атаки с целью уничтожения сетевых подключений и сервисов)
  • Спам и мониторинг трафика
  • Массовая кража личных данных (маскируется под известный бренд и просит пользователя предоставить личные данные, такие как пароль банковского счета, данные кредитной карты, данные о налогообложении)
  • Злоупотребление платой за клик (зараженные машины используются для автоматического нажатия на ссылки, увеличивая количество фейковых кликов в рекламных кампаниях)
  • Adware (оригинальная реклама заменяется мошенническим рекламным ПО, которое заражает систему любых пользователей, кто на нее нажимает).

Какую угрозу представляют ботнет-сети для компаний?

Компаниям следует уделять больше внимания защите от ботнетов по двум причинам. С одной стороны, они могут стать мишенями для ботнетов, например, когда огромное количество устройств с дистанционным управлением проводят DDoS-атаку на компьютерную инфраструктуру компании. С другой стороны, компьютерная сеть компании может стать частью ботнета, что приведет к обвинениям в преступной деятельности, поскольку следы атаки укажут именно на компанию.

Как понять, что корпоративные устройства являются частью ботнета?

Подозрительная активность (высокая нагрузка на сеть, необычный сетевой трафик (трафик IRC), чрезвычайно большой объем исходящих писем, значительная задержка в отправке почты, снижение вычислительной мощности, массовое сканирование определенных портов извне, жалобы третьих лиц на спам, который исходит с корпоративного почтового сервера) может быть признаком того, что устройства компании являются частью ботнета.

Что делать в случае скрытого присоединения IT-инфраструктуры компании к ботнет-сети?

В случае выявления проблемы специалисты пострадавшей компании должны изолировать зараженные устройства и просканировать их на наличие вредоносных программ. Необходимо также провести анализ ПО на наличие уязвимостей, очистить ПО устройств от вредоносных программ и закрыть уязвимости. После этого нужно проверить внутренние хранилища данных, корпоративные облачные хранилища на предмет возможного использования их для временного хранения вредоносных программ или запрещенного контента. В заключение важно проинформировать потенциальных жертв о том, что они подвергались атакам спама или DDoS-атакам без ведома компании.

Как правильно организовать защиту компании от кибератаки ботнет-сетей?

Защиту необходимо организовывать по двум направлениям. С одной стороны, компания должна быть защищена от возможных DDoS-атак и спама. С другой стороны, компания не должна допустить, чтобы корпоративные устройства стали частью ботнета. Для корпоративных настольных систем, ноутбуков, других мобильных устройств необходимо обязательно использовать профессиональные антивирусные решения, которые обнаруживают как сигнатурное, так и поведенческое вредоносное ПО. Аппаратное и программное обеспечение необходимо регулярно исследовать на наличие уязвимостей. Если они обнаруживаются, то необходимо немедленно их закрывать с помощью исправлений. Это не позволит злоумышленникам использовать уязвимости в безопасности для получения контроля над корпоративными IT-системами.

Однако для устройств IoT сегодня практически не существует профессиональных решений для защиты от вредоносных программ, которые можно было бы установить на устройствах локально. Надежные обновления, доступные для устранения неполадок в умных устройствах, также регулярно не выпускаются. В этом могут помочь только решения, которые способны обнаруживать вредоносное ПО до того, как оно достигнет устройства. Дополнительной защитой станет регулярный анализ сетевой активности всех устройств, используемых в компании, для чего необходимо подключить мониторинг серверов и сервисов.