A nějak podobně si můžeme představit DDoS útok. Obrovské množství počítačů se ve stejný čas mezi sebou „domluví“ a budou si chtít prohlížet určitou webovou stránku. Protože je však uživatelů skutečně hodně, daný server nemá kapacity na to je obsloužit v ten samý moment všechny. Takto přetížený server poté spadne, což se projeví nejčastěji tak, že se danou stránku již nepodaří načíst.

DDoS útok většinou tvoří stovky, někdy i tisíce zařízení. Jedná o počítače, které někdo předtím infikoval škodlivým softwarem a může je proto vzdáleně ovládat. Tato infikovaná zařízení pak společně tvoří botnet, tedy síť zotročených počítačů.

Nezapomeňme, že botnetovou sít netvoří jen počítače, případně mobilní zařízení. Vlivem vzrůstajícího trendu IoT se do botnetu mohou zapojovat i domácí spotřebiče, bezpečnostní kamery nebo například dětské chůvičky.

Proč takové útoky někdo provádí?

Samotných důvodů může být mnoho. Zde uvádíme ty nejčastější:

• Útok může být proveden jako pomsta za určité rozhodnutí / chování společnosti. Například během ruské invaze na Ukrajinu hackeři zaútočili pomocí DDoS útoku na ruský propagandistický kanál Russia Today a na několik minut ho vyřadil z provozu.
• Za útokem může stát i konkurence. Vyřadit e-shop kupříkladu během Vánoc může způsobit značnou ztrátu. Zákaznici se na internetový obchod nebudou moct připojit a nakoupí raději u konkurence.
• DDoS útokem lze „uměle“ zaměstnat IT zaměstnance určité firmy a paralelně vedle toho provést další útok, zaměřený například na krádež osobních dat. DDoS útok zde tedy bude nástrojem pro odvedení pozornosti.

Co můžu udělat já jako domácí uživatel?

Jak už ze samotného principu útoku vyplývá, břemeno zabezpečení leží primárně na samotných službách. Avšak i jako koncoví uživatelé internetu můžete výrazně pomoct například tím, že budete na svém počítači nebo chytrém mobilním zařízení používat antivirový program. Pravidelně aktualizovaný bezpečnostní software vás může ochránit před hrozbami, které by se pokoušely vaše zařízení do botnetu zapojit. A tím se nepřímo podílet na útocích.

Utajovaná akce probíhala déle než rok a ESET se do ní zapojil na žádost Microsoftu jako hlavní analytik škodlivých kódů, který pomohl odhalit řídící C&C servery.

ESET detekuje malware Gamarue jako Win32 / TrojanDownloader

Wauchos se vyskytuje nejméně od září 2011. Jde o škodlivý kód, s nímž se čile obchodovalo na zločineckých fórech a byl využíván jako tzv. crimekit. Tedy škodlivý software, který stahuje do napadených počítačů různé soubory a získává informace o PC.

Mezi kyberzločinci šlo o velmi populární kód. Ten šířil další druhy malwaru a správci si k němu mohli vytvářet vlastní škodlivé pluginy. V minulosti byl Gamarue nejčastěji detekovaným malwarem mezi uživateli bezpečnostních produktů společnosti ESET.

Jakmile se Microsoft obrátil na ESET s žádostí o spolupráci na eliminaci malwaru Gamarue, společnost okamžitě souhlasila

ESET se zaměřil na podrobnější technickou analýzu botnetů Gamarue. Také na identifikaci jejich řídících serverů a sledoval, jaké kódy instalovali jejich operátoři na počítače obětí. Společně s Microsoftem poskytl ESET orgánům činným v trestním řízení 1 214 domén a IP adres serverů, které byly využívány pro správu botnetů, 464 vzorků jednotlivých druhů botnetů a 80 přidružených rodin malwaru.

Botnety z rodiny Gamarue se staly celosvětovým problémem zhruba před rokem, kdy jejich škodlivá kampaň gradovala. Snaha o jejich eliminaci byla tedy velmi žádoucí. Zločinci používají tento botnet k odcizení přihlašovacích údajů k operačnímu systému Windows a stahování dalšího škodlivého softwaru do napadeného počítače.

Pokud se obáváte, že byl váš počítač napaden botnetem Wauchos a nepoužíváte bezpečnostní software, můžete si zdarma stáhnout a použít ESET Online Scanner, který odhalí veškeré škodlivé kódy včetně tohoto botnetu.

I když hacker pracoval v IT oddělení Liberijské telekomunikační společnosti, neměl údajně žádné speciální zkušenosti s vytvářením botnetových sítí a neplánoval masivní útok, který by měl routery odpojit od internetu, tvrdí britský list The Guardian. „Malware byl špatně naprogramován, nefungoval správně, a tudíž nedělal to, co měl dělat,“ konstatoval krátce po loňském útoku mluvčí Deutsche Telekomu. Pokud by se útočníkovi podařilo dosáhnout původně plánovaného efektu, byly by následky útoku podle mluvčího mnohem horší.

Tento útok nebyl ojedinělý

Útok botnetu Mirai přišel v době, kdy se v Británii množily podobné incidenty způsobené tímto malwarem. Například mobilní operátor Talk Talk zaznamenal výpadek svých služeb u 100 tisíc zákazníků a problémy měla i britská pošta. Nejznámějším a nejmasivnějším byl ale DDoS útok na provozovatele DNS serverů Dyn, kvůli němuž v říjnu loňského roku vypadla sociální síť Twitter, služby SoundCloud, Spotify, Shopify, Reddit, CNN, PayPal či Amazon.

Malware Mirai, který se objevil teprve v loňském roce a poté jej začalo používat hned několik útočníků, byl rovněž použit při velkém DDoS útoku proti bezpečnostnímu webu Krebs on Security a také pro odstavení většiny internetových služeb v Libérii začátkem listopadu loňského roku. Mirai pracuje na principu skenování zařízení pro fungování Internetu věcí, jako jsou routery, jež bývají často chráněny jen továrním nastavením zabezpečení, a zkouší prolomit jejich hesla. Cílem těchto útoků je vytvořit velkou botnet síť zařízení, jež mohou být poté zneužita pro DDoS útok.

Daniel K. nyní čeká na výslech druhého svědka a poté by nad ním soud mohl velmi rychle vynést rozsudek. Podle serveru Infosecurity-magazine.com mu hrozí až deset let vězení.

Weby pod náporem milionů přístupů v jednom okamžiku kolabují. Útokům vedeným prostřednictvím počítačů zapojených do botnet sítě se dá zabránit, u zařízení Internetu věcí to je ale takřka nemožné, varují experti, kteří se podíleli na potlačení útoků. Mirai v pátek večer zaútočil ve třech vlnách, z nichž nejsilnější byla první. Trvala dvě hodiny, během nichž mnoho uživatelů internetu především na východním pobřeží Spojených států nemohlo využívat řadu populárních služeb.

Druhá vlna útoku

Druhá vlna útoku trvala asi hodinu a měla globálnější charakter. Třetí útok byl už jen slabým odvarem prvních dvou a po něm problémy s přístupem na Twitter a další napadené služby ustaly. „Provedli jsme důkladnou forenzní analýzu a narazili jsme na desítky milionů IP adres, jež byly propojeny botnetem Mirai a účastnily se útoku,“ napsal ve svém vyjádření Kyle York, ředitel pro strategický vývoj americké cloudové společnosti Dyn. Mirai se běžně používá na ovládnutí zařízení, jež využívají sítě Internetu věcí.

Mirai

„Mirai nám dal první skutečnou lekci, jak obrovské důsledky může mít botnet útok u Internetu věcí a jakých škod jím lze dosáhnout,“ uvedl York. „Vzhledem k tomu, že většina zařízení Internetu věcí nemá žádné zabezpečení a nevydávají se pro ně bezpečnostní záplaty, je řešení tohoto problému v nedohlednu. Výrobci zařízení pro Internet věcí budou muset zvážit základní architekturu svých produktů a počítat se základními bezpečnostními zásadami,“ upozornil.

DDos

„Masivní DDos útoky z posledních dnů a týdnů nastolují nebezpečný precedens. A to dokonce hned v několika rovinách. V první řadě, pokud se potvrdí předpoklad že útok na DNS servery byl opět veden prostřednictvím IoT zařízení, bude jasné, že elektronika připojená k internetu je mnohem větším nebezpečím, než jsme si doposud chtěli připustit. A za druhé, že žádná služba nebo infrastruktura není natolik odolná, aby ji armáda „zotročených“ zařízení nemohla ohrozit,“ potvrzuje obavy amerického experta technický ředitel české pobočky společnosti ESET Miroslav Dvořák.

Primárně Dorkbot krade hesla různých populárních služeb jako je Facebook nebo Twitter. Nicméně dále na infikovaný počítač stahuje další malware – Win32/Kasidet, který se používá k DDoS útokům nebo Win32/Lethic, což je známý spambot.

Následující diagram znázorňuje jednotlivé moduly posledních verzí DorkBotu, které ESET analyzoval.

Pro názornost si zvolíme scénář, ve kterém dojde k infikování počítače z USB média.

Jednou z funkcí Dorkbota je hledat připojená výměnná zařízení k infikovanému PC, které poté použije k vlastní replikaci a šíření na další počítače. Typicky se na USB zařízení nachází dropper a přidružené .LNK soubory.

Po spuštění dropperu, který ESET detekuje jako Win32/Dorkbot.I, z USB zařízení, se nejprve pokusí stáhnout hlavní komponentu z C&C řídícího serveru. Stažený balíček rozbalí a spustí Win32/Dorkbot.L, což je wrapper, který hlavní komponentu nainstaluje.

Následně dojde ke spuštění hlavní Dorkbot IRC komponenty (Win32/Dorkbot.B), přičemž se zároveň provede tzv. hook DnsQuery API funkce. To je nezbytné, protože hlavní komponenty neobsahují pravé C&C domény. Ve skutečnosti pak v momentě, kdy se IRC komponenta snaží přeložit tyto domény pomocí zmanipulované API funkce, wrapper namísto toho provede pokus je přeložit jako jednu z domén, které obsahuje. Takto složitý proces samozřejmě pomáhá maskovat reálné adresy C&C serverů.

Po dokončení instalace se systém pokusí spojit s IRC serverem, připojí se na specifický kanál a čeká na příkazy od botmastera. Obvykle netrvá moc dlouho a infikovaný počítač dostane příkaz ke stažení dalšího škodlivého kódu.

Pokud máte podezření, že je Váš počítač nebo síť Dorkbotem infikována, můžete pro vyčištění použít ESET nástroj zdarma.

Příklady domén, na které Dorkbot cílil:

Americká justice viní Bogačeva také ze spiknutí, bankovního podvodu a praní špinavých peněz. Šance, že by tento Rus stanul před americkým soudem, je přes vysokou vypsanou odměnu však jen mizivá – na rozdíl od dalšího Rusa Vladimira Drinkmana, který byl na základě amerických obvinění z počítačových zločinů vydán v únoru 2015 do Spojených Států poté, co prohrál dvouletou právní bitvu. Drinkmanovi, který měl ukrást na 160 milionů údajů o platebních kartách a na něhož FBI vypsala stejnou odměnu jako na Bogačeva, hrozí až 20 let vězení.

Rozdíl mezi oběma ruskými hackery je v tom, že Drinkmana zatkli v Nizozemsku, zatímco Bogačev se drží v Rusku: podle ruských médií žije ve městě Anapa na ruském pobřeží Černého moře a svůj dům za celý život prakticky neopustil.

Botnety představují hrozbu

Botnet GameOver Zeus byl vytvořen s hlavním cílem získávat z infikovaných počítačů přihlašovací údaje a s jejich využitím umožnit vykrádání bankovních účtů obětí. Dalšími aktivitami skupiny zločinců okolo Bogačeva bylo šíření vyděračského malware Cryptolocker, který obětem zašifruje počítače a požaduje výkupné, a také rozesílání phishingových emailů nebo účast na tzv. DDoS útocích (Distributed Denial of Service – záplava požadavků, které zahltí cílové servery nebo webové stránky).

Americká policie sledovala aktivity okolo nebezpečného botnetu GameOver Zeus již od roku 2011. V roce 2014 pak proběhla mezinárodní operace, vedená americkou FBI za podpory evropské bezpečnostní organizace EUROPOL a dalšími bezpečnostními institucemi a firmami, která fungování botnetu GameOver Zeus ochromila.

Operace proti botnetu GameOver Zeus přitáhla pozornost americké vlády k botnetům. Před bezpečnostní výbor amerického Senátu byl předvolán náměstek ředitele americké federální vyšetřovací služby Joseph Demarest, aby vysvětlil strategii FBI v boji proti kybernetické kriminalitě. Pro FBI jsou podle náměstka Demaresta klíčovou kybernetickou hrozbou právě cílené útoky prostřednictvím botnetů, jejichž prostřednictvím se zločincům podaří ročně infikovat dalších 500 milionů počítačů a způsobit škody za víc než 110 miliard dolarů.

Botnety představují hrozbu i podle prestižní zprávy Verizon Data Breach Investigation Report (VDBI). Zato zpráva prezentuje botnety jako zdaleka největší jednotlivou kategorii počítačové kriminality: jejich podíl na celkové zdokumentované počítačové kriminalitě tvoří podle VDBI plných 86 procent.

Vyděračský malware

„Zatímco botnet GameOver Zeus byl úspěšně paralyzován operací TOVAR již v létě 2014, šíření vyděračského šifrovacího malware – a nemusí jít jenom o CryptoLocker a jeho klony – bohužel pokračuje,“ upozorňuje Petr Šnajdr, bezpečnostní expert společnosti ESET.

Za pozornost v této souvislosti stojí, že na konferenci Georgetownské univerzity o výhledu kybernetické kriminality do roku 2020 byl vyděračský malware označen za budoucnost škodlivého softwaru.

Na konci roku 2014 prezentovali analytici společnosti ESET detailní analýzu rozsáhlého případu, kdy zločinci za pomoci malware TorrentLocker zašifrují na infikovaném počítači soubory a požadují výkupné za šifrovací klíče. Experti ESET zjistili, že malware TorrentLocker zašifroval na infikovaných 40 tisících počítačů (3500 z nich v Česku) přes 525 milionů souborů, za jejichž dešifrování požaduje gang vyděračů výkupné. Vyděrači si přišli na v přepočtu víc než 580 tisíc dolarů.

Specializovaná ochrana

V reakci na rostoucí ohrožení uživatelů ze strany botnetů zařadila společnost ESET do svých bezpečnostních produktů specializovanou technologii Ochrana proti botnetu. Tato technologie analyzuje odchozí síťovou komunikaci a hledá podezřelé příznaky. Kontroluje také, zda server, k němuž se chráněný počítač připojuje, není na seznamu pochybných serverů, spojených s aktivitami botnetů.

Nejhledanější kybernetičtí zločinci

Po Jevgeniji Bogačevovi je druhým nejhledanějším počítačovým zločincem pro americkou policii FBI rumunský podvodník Nicolae Popescu, za něhož FBI vypsala cenu jednoho milionu dolarů. Jeho metody se však od sofistikovaného malware, za nímž má stát Bogačev, výrazně liší. Popescu údajně ve velkém nabízel na internetu zboží, které po zaplacení prostě nedodal. V žebříčku následuje trojice Číňanů-vojenských počítačových expertů, viněných z počítačové špionáže. Na ty však FBI žádnou cenu za dopadení nevypsala.

Dvacet tisíc dolarů je cena na každého z dvojice podvodníků, kteří skrytě instalovali na různé legitimní internetové stránky bannery, které měly návštěvníky přesvědčit, že mají zavirovaný počítač, a že je potřeba zakoupit specializovaný software k jeho odstranění. Tímto jednoduchým trikem si měli přijít na víc než sto milionů dolarů.

Odměna tří milionů dolarů za nejhledanějšího kybernetického zločince bledne v porovnání se sto miliony dolarů, nabízených za mexického násilníka Fidela Urbinu. Za pozornost stojí, že po mezinárodních teroristech aktuálně velká poptávka ze strany FBI není: za nejhledanějšího z nich, Ramadana Shallaha, FBI nabízí pouhých pět milionů dolarů.

To je dobrá zpráva pro boj proti botnetům. Ty totiž představují globální problém, který je akutní i v Česku.

Různé druhy vydírání

Zločinci využívají botnety k různým druhům internetové kriminality. Často jde o rozesílání spamu – ty největší botnety historie, které byly právě k rozesílání budovány, dokázaly rozesílat až desítky miliard spamových emailů denně. V případě botnetu Cutwail to bylo v roce 2009 dokonce 74 miliard.

S využitím botnetů zločinci také provádějí takzvané DDoS útoky, kdy ovládané počítače koordinovaně vysílají požadavky na vybrané servery s cílem zahltit je komunikací a vyřadit je tak z provozu. Po krátké ukázce se obvykle obrátí na danou firmu s hrozbou eskalace útoku a požadavkem na zaplacení výpalného.

Dalším častým zneužitím botnetu je šíření vyděračského šifrovacího malware. Nejznámějším příkladem je obávaný CryptoLocker, šířený botnetem GameOver Zeus, který bezpečnostní experti z řady zemí světa pod vedením americké policie FBI rozbili v létě 2014. Bezpečnostní experti ESET popsali fungování podobného malware s názvem TorrentLocker, který od jara 2014 infikoval na 40 tisíc počítačů, převážně v Evropě. Analýza provozu řídících serverů botnetu TorrentLocker umožnila zjistit o této vyděračské kampani detailní informace.

Botnet TorrentLocker útočí i v Česku

TorrentLocker zašifroval na infikovaných počítačích (resp. na všech jejich připojených diskových jednotkách) přes 525 milionů souborů, za jejichž dešifrování požaduje gang vyděračů výkupné. Výkupné zaplatilo pouze 570 obětí; i tak si vyděrači přišli na v přepočtu víc než 580 tisíc dolarů.

V Česku se obětí TorrentLockeru stalo 3420 počítačů, na nichž bylo zašifrováno 35 milionů souborů. Vyděračům zaplatilo 28 obětí z Česka – v průměru to bylo v přepočtu téměř 22 tisíc korun, celkem 611 tisíc korun.

Nespoléhat na legislativu

„Snaha americké vlády vytvořit lepší podmínky pro boj proti botnetům je chvályhodná. Není zatím jasné, jak dopadne, ale rozhodně potvrzuje, že botnety opravdu představují problém. Uživatelé internetu by neměli spoléhat, že je před botnety ochrání legislativa. Měli by zachovávat základní pravidla bezpečného používání internetu a používat bezpečnostní software s technologií ochrany proti botnetu,“ komentuje Peter Stančík, Security Evangelist společnosti ESET.

Příkladem jsou nové bezpečnostní produkty ESET, které právě technologii Ochrana proti botnetu obsahují. Tato technologie využívá toho, že komunikace s řídícími servery botnetů vykazuje specifické znaky. Funguje tedy na síťové úrovni: kontroluje odchozí komunikaci, a v případě podezření komunikaci zablokuje a upozorní uživatele na možné nebezpečí.

Bezpečnostní produkty ESET pro firmy, jejichž nová verze byla představena na konci února, obsahují vedle technologie Ochrana proti botnetu také další zcela nové technologie. Především je to Exploit Blocker, který zajišťuje ochranu stanic před dosud neznámými hrozbami, tzv. zero day útoky. Sleduje chování procesů a hledá podezřelé aktivity, které jsou pro exploity typické. Chrání často zneužívané aplikace, jako jsou internetové prohlížeče, čtečky PDF, poštovní klienti a v neposlední řadě Java. Právě proti Javě je zaměřeno víc než 90 všech útoků typu exploit, tedy takových, které směřují proti novým, dosud neopraveným zranitelnostem.

Zásadními inovacemi nových bezpečnostních produktů ESET pro firmy jsou také pokročilá kontrola paměti a Anti-Phishing. Pokročilá kontrola paměti, která monitoruje chování procesů a kontroluje je ihned po rozbalení v paměti. Takto je schopná detekovat i těžce šifrované hrozby, které by jinak ušly detekci. Anti-Phishing chrání uživatele před pokusy získat jejich citlivé informace, což ve firemním prostředí znamená především přístupové údaje k firemním aplikacím a systémům. Právě phishingovým útokem začala většina těch největších úniků firemních dat, které se v posledním období ve světě odehrály.

Pro FBI jsou podle náměstka Demaresta klíčovou kybernetickou hrozbou cílené útoky prostřednictvím botnetů. Ty působí jen americké ekonomice škodu za devět miliard dolarů, přičemž globálně to je podle FBI víc než 110 miliard dolarů.

Tato čísla jsou však zanedbatelná v porovnání s potenciálem, který botnety mají. Například: operátoři kteréhokoli botnetu mohou kdykoli „nasadit“ na všechny ty desetitisíce až miliony počítačů, které ovládají, trojan Cryptolocker a zašifrovat obsah jejich disků.

Bezpečnostní analytici se obávají, že operátoři botnetů se poučí z operace proti GameOver Zeus a vezmou ovládané počítače jako rukojmí. Znamená to, že by je učinili závislými na komunikaci s ovládacím centrem botnetu.

Kdyby tuto komunikaci někdo znemožnil, tak by to spustilo připravený destruktivní mechanismus – například zašifrování disku.

Jediným způsobem, jak se vyhnout hrozbám souvisejícím s botnety, je dodržování zásad bezpečného používání internetu – včetně používání kvalitního a aktualizovaného bezpečnostního řešení.