Ce este un botnet?
Un botnet este un grup de dispozitive conectate la Internet infectate cu un tip de malware special. Acest malware este un program malitios care reuseste sa obtina drepturi administrative pe dispozitivul victimei si sa predea controlul catre atacator, de regula folosind un canal ascuns de comunicare pentru a nu-si trada prezenta. Dispozitivul compromis functioneaza in parametrii normali, fara a da vreun semn de infectie, insa in acelasi timp executa ordinele primite de la hackeri. Orice dispozitiv poate fi compromis, de la obisnuitele laptopuri, smartphone-uri si tablete la dispozitive precum cele de tip IoT despre care nu ne-am gandi ca sunt interesante pentru hackeri – boxe smart, aere conditionate, frigidere, masini de spalat, routere wireless, imprimante, camere de supraveghere si altele similare. Impreuna, aceste echipamente formeaza o armata puternica care este folosita pentru a savarsi infractiuni cibernetice.
Un exemplu notabil de atac a fost cel executat de reteaua botnet Mirai in octombrie 2016 care a reusit sa infecteze peste 600 000 de dispozitive IoT care au generat peste 1 Tbps de trafic “gibberish”, facand anumite zone din Internet complet inaccesibile. Atacul a avut ca tinta reteaua furnizorului de servicii DNS Dyn si a afectat servicii precum Netflix, HBO, Visa, PayPal, Sony PlayStation, Twitter si altele in SUA si Europa.
Atacatorii pot folosi o retea de dispozitive zombie in urmatoarele atacuri:
- DDoS (Distributed Denial of Service) – este cel mai popular scenariu pentru o armata botnet. Cu cat mai multe dispozitive aflate sub controlul hackerilor, cu atat va fi mai puternic atacul DDoS. Dispozitivele zombie trimit un super flux de cereri de date catre un server cu scopul de a-i consuma resursele si de a-l face inutilizabil pentru userii legitimi. Conform Statista, numarul de dispozitive IoT este preconizat sa ajunga la 30,9 miliarde pana in 2025. Acest lucru va duce la o baza materiala foarte mare care poate fi compromisa de atacatori si, implicit, la atacuri DDoS din ce in ce mai voluminoase si mai greu de mitigat.
- exfiltrarea de date – uneori atacul de tip DDoS poate fi prima faza dintr-un atac mai complex, cu un obiectiv secundar. DDoS poate fi doar momeala folosita de atacatori pentru a distrage atentia de la intentia adevarata a malware-ului si anume aceea de a extrage informatii sensibile sau confidentiale, mascate in volumul imens de trafic generat de botnet.
- campanii de spam – dispozitivele zombie infectate sunt folosite de atacatori pentru a evita masurile de securitate ale providerilor de Internet care blocheaza IP-urile cunoscute deja ca surse de spam sau malware. Cand un PC este infectat, hackerii vor folosi adresa/adresele de mail ale victimei pentru a trimite mesaje spam. In plus, hackerii vor culege si lista de contacte ale victimei pe care le vor adauga in baza lor de email-uri de spam.
Cum ne putem feri de o infectie cu malware de tip botnet?
Sfatul #1. Toate dispozitivle IoT vin cu un set de credentiale default extrem de usor de ghicit sau de gasit pe Google. Asa ca, prima linie de aparare este schimbarea informatiilor de acces pe camera video, termostat, imprimanta, etc
Sfatul #2. Mentineti la zi sistemul de operare si instalati cele mai recente patch-uri si update-uri de securitate pe toate dispozitivele folosite.
Sfatul #3. Utilizati un cont non-administrativ pe sistemele Windows sau non-root pe cele Linux. Astfel, daca atacatorul va compromite acel sistem nu va avea acces privilegiat si nu va putea actiona dupa bunul plac.
Sfatul #4. Nu descarcati fisiere sau programe software de pe site-uri terte sau din surse neautorizate. Site-urile de peer to peer sau de torrente sunt adesea folosite de atacatori ca medii de livrare a malware-ului. Daca totusi tineti neaparat sa faceti acest lucru, scanati ceea ce descarcati cu un antivirus/antimalware de incredere.
Sfatul #5. Folositi o solutie de endpoint protection, precum Cisco Secure Endpoint cu capabilitati multiple de protectie impotriva virusilor banali, dar si impotriva amenintarilor moderne ca spyware, ransomware si phishing. Malware-ul de tip botnet poate avea functii suplimentare implementate de atacatori si poate descarca malware aditional pe sistemul vicitimei care poate duce la alte atacuri cibernetice. Prin tehnici avansate de AI/ML si analiza heuristica, solutia de endpoint protection poate recunoaste comportamentele suspecte si poate sa blocheze malware-ul inainte ca acesta sa isi indeplineasca obiectivul cu succes.
Mihai Dumitrascu, Sr Systems Engineer
