Rețelele de tip botnet sunt una dintre cele mai periculoase amenințări la adresa securității Internetului, problema fiind globală prin natura ei.
Un botnet reprezintă o rețea de calculatoare infectate (prin exploatarea unor vulnerabilități sau prin inginerie socială) cu o aplicație malware care permite infractorilor cibernetici să le poată controla de la distanță, fără ca proprietarii de drept să fie conștienți de acest lucru. Calculatoarele compromise (boți, zombi sau drone) sunt controlate de o persoană sau de un grup de atacatori (Botmaster) prin intermediul unor centre de comandă și control (C&C). Aceștia pot utiliza puterea cumulată a mai multor calculatoare zombi pentru a amplifica exponențial impactul atacurilor cibernetice derulate, dimensiunea unei astfel de rețele putând ajunge de la o mie la câteva zeci de mii de calculatoare infectate. Un studiu efectuat la nivelul anului 2008 arăta că aproximativ 40% din cele 800 de milioane de calculatoare conectate la Internet într-o zi normală făceau parte dintr-o rețea de tip botnet.
Rețelele botnet reprezintă coloana vertebrală a operaţiunilor cibernetice având în vedere rolurile multiple ce le pot fi alocate, cum ar fi: culegerea de date personale, parole, detalii ale cardurilor de credit, adrese și numere de telefon, acestea putând fi utilizate ulterior în diferite activități infracționale ce vizează furtul de identitate, fraudele bancare, spam-ul, ingineria socială, accesul de la distanţă pe sistemele ţintă sau distribuția de malware. De asemenea, pot fi utilizați în lansarea de atacuri de tip DDoS (Distributed Denial of Service) asupra site-urilor web sau rețelelor informatice, respectiv în activități de spionaj industrial sau guvernamental.
Infractorii cibernetici identifică permanent noi metode care să facă rețelele botnet mai robuste, mai greu de identificat, pentru a putea rămâne active perioade mai mari de timp, adaptându-le capabilitățile de a ascunde datele extrase în timpul atacurilor. Spre exemplu, prin găzduirea unui centru de comandă și control într-o rețea de tip Tor, se poate ascunde locația serverului, acesta devenind mult mai greu de identificat și de scos din funcțiune. Rețelele botnet sunt create astfel încât comportamentul lor să fie aproape similar cu cel al unor aplicații legitime, detecția lor necesitând astfel un efort mai mare și un timp mai îndelungat. Aceste reţele devin tot mai sofisticate, cu boți care comunică direct unul cu altul (peer-to-peer), fără a avea nevoie de intermedierea unui C&C. Dacă un bot este descoperit, un altul îi va lua locul, extinzând durata de viață a rețelei de boți și asigurând continuitatea activităților ilegale derulate.
Un efort susținut a fost derulat într-o operațiune globală coordonată de Interpol pentru a înlătura botnet-ul Simda, responsabil pentru infectarea a cel puțin 770.000 de calculatoare (peste 90.000 fiind infectate doar la începutul anului 2015) din peste 190 de țări, cele mai afectate fiind SUA, Marea Britanie, Canada și Rusia. Activ timp de câțiva ani, botnet-ul Simda a fost rafinat permanent pentru a exploata orice vulnerabilitate cu noi versiuni tot mai greu de depistat, generate și distribuite la intervale foarte scurte de timp (de câteva ore). În prezent Kaspersky Lab’s deține o colecție de peste 260.000 de fișiere executabile aparținând diferitelor versiuni ale botnet-ului Simda.
Botnet-ul Coreflood a reușit infectarea a mai mult de 2 milioane de calculatoare în toată lumea. Botmaster-ii au utilizat sistemul pentru a „exfiltra” peste 500 GB de informații bancare sensibile, rezultând pierderi financiare enorme, atât pentru instituțiile bancare, cât și pentru persoanele fizice.
Reţelele botnet reprezintă infrastructura perfectă pentru lansarea atacurilor de tip DDoS, în cursul cărora un număr foarte mare de computere compromise atacă o singură țintă, sistemele vizate fiind determinate să nu mai poată răspunde la comenzi din cauza indisponibilizării sau blocării resurselor. Caracteristica ultimei perioade este magnitudinea volumetrică a acestor atacuri, generată de implicarea unor reţele botnet de mare calibru, ţintele vizate fiind de regulă corporaţii (şantajate ulterior de către atacatori), însă au fost derulate şi o serie de atacuri motivate politic.
Hackeri neidentificați au încercat să saboteze chiar și rețeaua Internet. Între 30 noiembrie și 1 decembrie 2015, o entitate neidentificată a inițiat și derulat cel mai puternic atac DDoS asupra celor 13 servere DNS (Root Name Servers) ce fac parte din infrastructura de bază a Internetului, inundându-le cu trafic de pe mai multe adrese IPv4, serverele primind mai mult de 5 milioane de cereri pe secundă și peste 50 de miliarde de interogări în cele două zile. În comparație, în ultimii doi ani, cele mai multe cereri recepționate într-o zi normală pe serverele DNS nu au depășit cifra de 10 milioane. Din fericire, atacul nu a reușit să blocheze serverele DNS, deoarece operatorii acestora au realizat devierea traficului suplimentar înspre o serie de servere aflate în rezervă. Dată fiind însă magnitudinea atacului, doar o entitate foarte puternică ar dispune de resursele necesare susținerii unui astfel de atac cibernetic, coordonat pe o perioadă de 48 de ore, existând suspiciuni că în spatele atacului s-ar afla un actor statal.
În luna ianuarie 2016, un atac DDoS revendicat de gruparea hacktivistă New World Hacking a fost îndreptat împotriva site-ului BBC. Gruparea susţine că atacul a avut magnitudinea de 602Gbps, ceea ce-l plasează pe primul loc în istoria atacurilor de acest tip, depăşind de aproape două ori recordul precedent de 334Gbps din anul 2015 asupra reţelei Arbor Networks. Pe lângă site-ul BBC, New World Hacking a atacat în aceeaşi zi şi site-ul candidatului la alegerile prezidenţiale din SUA, Donald TRUMP, gruparea afirmând că toată operaţiunea a fost doar un test pentru ceea ce va urma.
Pe viitor, amenințările online vor evolua mai mult înspre a stăpâni psihologia din spatele fiecărei combinații iniţiate, decât înspre stăpânirea aspectelor tehnice ale operațiunii în sine. Atacatorii vor continua să utilizeze teama ca și instrument principal, ce s-a dovedit a fi deosebit de eficient în trecut.
În ultima perioadă, infractorii cibernetici au făcut uz de crypto-ransomware pentru a convinge utilizatorii online să plătească răscumpărări în vederea obținerii accesului la cea mai importantă resursă a unui sistem, propriile date. Ne putem aștepta deci la noi metode, mai elaborate, de direcționare a psihicului victimelor în direcția dorită de atacatori, prin noi trucuri ce folosesc ingineria socială pe post de momeală.
Botneţii și mobilitatea
Explozia de smartphone-uri și adaptarea lor în creștere la cerințele pieței, precum şi nevoia de mobilitate și putere de procesare sunt tendințe care nu au trecut neobservate de către autorii de malware. Ca urmare, aceștia și-au concentrat atenția pe dispozitivele mobile, fapt ce a condus la o creștere abruptă a malware-ului mobil în ultima perioadă.
Smartphone-urile sunt practic niște minicalculatoare la purtător. Le folosim nu numai pentru a efectua apeluri, ci și pentru operațiuni bancare, cumpărături online, poștă electronică, navigare pe Internet etc. Cei mai mulți dintre utilizatori păstrează o mare parte dintre datele importante sau personale pe telefonul mobil. Creșterea exponențială a numărului de aplicații descărcate, partajate sau instalate, face ca aceste telefoane inteligente să devină tot mai vulnerabile la diverse tipuri de malware. Operațiunile bancare derulate de pe dispozitivele mobile au devenit tot mai populare, fără însă a beneficia de mecanisme de protecție comparabile cu cele de pe PC-uri, încurajând astfel criminalitatea informatică.
În ceea ce privește criminalitatea cibernetică, este întotdeauna dificil de previzionat ce se va întâmpla peste un an sau peste 10 ani de acum înainte. Peisajul amenințărilor mobile a suferit schimbări dramatice în ultimii 10 ani, iar comunitatea infracțională continuă să identifice noi metode, tot mai ingenioase, de a utiliza aceste atacuri pentru un singur scop, cel financiar. Având în vedere explozia de telefoane inteligente și a multor altor tehnologii mobile, o previziune rezonabilă pentru viitorul nu foarte îndepărtat ar fi legată de convergența malware-ului mobil cu cel specific PC-ului. Cum totul devine mobil, putem preconiza că și malware-ul va migra în această direcţie, devenind „mobil”.
Prietenii impersonali
Nici rețelele sociale nu au fost trecute cu vederea de către autorii de malware, în urmă cu câțiva ani Panda Security atrăgând atenția pentru prima dată asupra existenței unei rețele care comercializa boți specializați în targetarea rețelelor sociale și conturilor webmail. Boții erau oferiți spre vânzare prin intermediul paginilor web, oferta conținând un portofoliu amplu de programe ce aveau ca țintă rețelele sociale și serviciile webmail, incluzând Twitter, Facebook, Hi5, MySpace, MyYearBook, YouTube, Tuenti, Friendster, Gmail şi Yahoo.
O echipă de cercetători de la Departamentul de Etică și Ingineria Computerelor din cadrul Universității Columbia Britanică (The University of British Columbia/UBC) au descoperit faptul că grupuri de așa-ziși „boți sociali” ar putea să însemne dezastrul unor rețele precum Facebook sau Twitter. Acești boți sociali mimează foarte bine utilizatorii online, adăugând posturi care par a veni de la ființe umane, dar, în secret, promovează produse sau puncte de vedere, iar unii pot să se folosească de noile conexiuni pentru a intra în posesia informațiilor private ale utilizatorilor respectivi. Coordonați de un botmaster abil, aceştia pot aduna în scurt timp o cantitate mare de informaţii private de diferite tipuri. Cercetătorii UBC au calculat că o reţea de boți are nevoie de doar 1000 de prieteni umani însumați pentru a deveni profitabilă, dacă scopul acesteia este furtul de informații. „Complexitatea rețelelor de boți sociali face dificilă realizarea unei politici unitare împotriva lor.”, afirmă cercetătorii UBC.
În 2015, Facebook a anunțat că a identificat peste 170 milioane de conturi false, în marea lor majoritate boți sociali, compania fiind nevoită să declanşeze o adevărată ofensivă în vederea eliminării acestora.
Internetul Tuturor Lucrurilor – o nouă provocare
Internetul de bandă largă devine tot mai răspândit, costurile de conectare scad tot mai mult, tot mai multe echipamente sunt create cu senzori și capabilități Wi-Fi incluse, costurile de producție scad, iar invazia telefoanelor inteligente este în continuă creștere. Toate acestea creează ambientul perfect pentru Internetul Tuturor Lucrurilor (Internet of Things / IoT).
Dincolo de dispozitivele mobile, cel mai probabil obiectiv viitor pentru infractorii cibernetici îl va reprezenta IoT. Este extrem de dificil de prognozat numărul de obiecte conectate ce vor exista pe piață în următorii 5 ani, Gartner estimându-l la peste 30 de miliarde, în timp ce IDC estimează că piața va depăși 200 de miliarde. Mai simplu spus, IoT este practic un concept ce se referă la un viitor în care obiecte, oameni, sisteme și procese sunt conectate între ele cu ajutorul Internetului. Aceasta include totul, de la telefoane sau alte dispozitive mobile, automobile, espressoare, routere, mașini de spălat, frigidere, sisteme de închidere sau de iluminat, sisteme multimedia și aproape orice altceva ne putem imagina. IoT reprezintă o transformare majoră în lumea digitală, având potențialul de a afecta direct orice persoană sau afacere. Cisco și General Electric estimează dimensiunea IoT la peste 10.000 miliarde de dolari, iar International Data Corporation estimează că la nivelul anului 2020 peste 40% din datele tranzitate în întreaga lume vor fi rezultate ale comunicațiilor dintre aceste echipamente / sisteme interconectate.
Anul 2015 a marcat unele incidente în care au fost implicate dispozitive compromise sau nesigure, variind de la televizoare inteligente până la automobile. Chiar dacă utilizatorii au devenit tot mai conștienți de riscurile de securitate generate de conectarea diverselor dispozitive la Internet, interesul public față de tehnologia smart este în continuă creștere. Dată fiind diversitatea de sisteme de operare și lipsa unor reglementări solide pentru aceste dispozitive inteligente, un atac cibernetic de amploare asupra acestora pare de neevitat. Cum tot mai mulți producători și furnizori de servicii vor să valorifice oportunitățile de afaceri generate de această piață, este rezonabil să presupunem că securitatea nu a fost primul lucru luat în considerare în procesul de dezvoltare a acestor noi produse. Oare va fi Internetul Tuturor Lucrurilor următoarea mare provocare pentru infractorii cibernetici?
Abstract
Zombie computer networks, also known as botnets, have been for several years the most important infrastructural component in the world of cybercrime actors. In a reality where the purchase and sale of services information theft or campaign spreading ransomware are facilitated by them, botnets play a central role in the world of cybercrime.
In other words, hundreds or thousands of computers, smartphones or IoT devices, that are part of such networks, rivaling the power of today’s most powerful cloud computing platforms, are used for sending spam, launching Denial of Service attacks and performing other malicious actions.
Autor: Radu Stratulat