Retelele botnet - atacul, comanda si controlul

Retelele botnet sunt cele mai mari amenintari Internet actuale. In conditiile in care intentiile atacatorilor variaza de la dorintele de recunoastere internationala ale unor hackeri dezinteresati de aspecte materiale pana la interesele banesti ale crimei organizate, atacurile botnet devin tot mai dure si sofisticate.

O retea botnet este compusa din computere care, fara stirea utilizatorului, au fost compromise prin exploatarea unor vulnerabilitati de catre o aplicatie malware, si sunt manipulate prin IRC pentru a derula activitati nocive, cum ar fi trimiterea de mesaje spam sau spyware catre alte computere de pe Internet. Aceste computere "bot" actioneaza sub comanda unui singur hacker (sau grup de hackeri de dimensiuni reduse) denumit "botmaster".

Dupa ce un botmaster creaza o retea botnet, aceasta poate fi folosita in diverse scopuri:

- lansarea de atacuri de tip Distributed Denial of Service (DdoS);
- transmiterea de mesaje e-mail spam sau mesaje ce incearca obtinerea unor informatii prin elemente de social engineering;
- controlul calculatoarelor de la distanta;
- raspandirea de aplicatii keylogger sau sniffer-e de retea - aplicatii care detecteaza si intercepteaza traficul in retea.

Retelele botnet pot cumula o putere de procesare incredibila, datorata distribuirii executiei diverselor aplicatii create de atacatori, si pot lansa atacuri variate catre un numar foarte mare de tinte. Spre exemplu, un botmaster poate comanda fiecarui computer inrolat in reteaua botnet sa transmita mesaje spam, sa culeaga date ale cartilor de credit (folosind aplicatii keylogger care inregistreaza caracterele introduse la tastatura) sau sa lanseze atacuri DDoS impotriva a sute de tinte. Numarul retelelelor botnet este in continua crestere, sunt din ce in ce mai sofisticate si puternice, compuse din aplicatii de control bot dezvoltate pe baza cunostintelor obtinute de la variantele precedente.

Retelele botnet folosesc elemente de social engineering si distributia de e-mailuri pentru infectarea altor calculatoare. O retea botnet poate distribui mesaje e-mail infectate cu aplicatii malware, sau cu link-uri care directioneaza utilizatorul spre site-uri compromise, unde sistemele sunt infectate in cateva secunde cu o varietate de virusi, spyware si adware.

Tehnicile de inginerie sociala pot consta in mesaje de genul "Fotografia lui X" si un atasament infectat care pare a fi o imagine jpg prin care se incearca inducerea in eroare a utilizatorului pentru a lansa aplicatia nociva. Retelele botnet se pot extinde singure, prin identificarea si contaminarea altor computere vulnerabile din cauza sistemelor de operare sau a browser-elor folosite. Astfel, un numar tot mai mare de computere participa la activitatile coordonate ale retelelor botnet.

Unul dintre cele mai frecvente tipuri de atac este DDoS - Distributed Denial of Service, in cursul caruia un numar foarte mare de computere compromise ataca o singura tinta, care nu mai poate indeplini functiile pe care le asigura in mod normal pentru utilizatori. Astfel, sistemele vizate sunt determinate sa nu mai raspunda la comenzi. La inceput, retelele botnet lansau atacuri impotriva marilor organizatii ca Yahoo sau Microsoft; atacurile recente insa au vizat corporatii santajate de atacatorii care solicitau transferul unor sume de bani pentru a nu initia actiuni agresive. In caz contrar, atacurile lansate puteau duce la intreruperea activitatii la companiile respective.

Despre autor:

Redactia 9am

Mai multe