Тайная жизнь домашних компьютеров. Как рядовые пользователи становятся частью грандиозных кибератак
Зомби среди нас
Слово «ботнет» происходит от двух английских слов — robot («робот») и network («сеть»). Ботнетом называют сеть связанных друг с другом компьютеров, ноутбуков и других устройств, которыми удалённо управляют хакеры. При этом владельцы этих устройств чаще всего даже не догадываются, что их техника участвует в действиях злоумышленников.
Для объединения разных устройств в единую сеть используются специальные троянские программы. Их можно подхватить буквально везде — в спам-письмах на почте, при просмотре смешных «гифок» с котиками в соцсетях, во время скачивания пиратской книги. В один ботнет могут объединяться десятки тысяч компьютеров, а иногда — и несколько миллионов.
По данным организации Spamhaus, занимающейся изучением спама и других киберпреступлений, в четвёртом квартале 2021 года зафиксировали 3271 атаку с помощью ботнетов с единым центром управления (Command and Control). Это на 23% больше, чем в третьем квартале 2021 года, когда было совершено 2656 подобных атак. Всего же в 2021 году, по информации компании NetScoute, злоумышленники совершили 9,75 млн DDoS-атак. Данных по 2022 году пока нет, но с учётом развернувшейся массированной кибервойны на фоне российско-украинского конфликта, цифры могут оказаться ещё внушительнее.
Заражённые устройства буквально превращаются в зомби, их используют для выполнения одинаковых задач. Например, с помощью ботнетов можно массово рассылать спам, делать накрутки (увеличивать число просмотров какого-то ролика или статьи в Сети), совершать уже упомянутые DDoS-атаки и даже майнить криптовалюту.
Последнее называется «криптоджекинг» (от англ. jacking — «захват»). Если хакер решил попробовать превратиться в криптомиллионера, он запускает троян и заполучает всё новых и новых управляемых жертв. Затем киберпреступник даёт команду, и захваченные им компьютеры начинают майнить эфиры или биткоины. Видеокарты от такого использования жужжат и перегреваются, устройства начинают тормозить. Никакого вознаграждения за это настоящие владельцы компьютеров, конечно же, не получают — вся крипта выводится прямиком на кошельки хозяина вируса-троянца. Так, недавно хакерская группировка 8220 создала майнинговый ботнет из 30 000 компьютеров. Несмотря на обнаружение, его до сих пор никто не ликвидировал, и он продолжает работать.
Ботнеты-лидеры
Вот самые мощные из обнаруженных в мире ботнетов, ущерб от которых легко может исчисляться в миллионах долларов.
Жалящий богомол
- Название ботнета: Mantis
- Число подключённых устройств: 5000
Пока доподлинно не известно, кто скрывается за крупнейшим ботнетом в истории — Mantis (от англ. mantis — «богомол»). Обнаружившая его компания Cloudflare заявила, что во время пика мощность атаки достигала 26 млн запросов в секунду. Атака совершалась с относительно небольшого числа активных устройств — около 5000.
Однако это не обычные захваченные компьютеры/ноутбуки, а целые сервисы и виртуальные машины с огромными вычислительными мощностями. Как их взломали — непонятно. Скорее всего, преступники просто воспользовались обнаруженными там брешами в защите.
Малочисленность задействованных устройств, пусть и весьма мощных, стала ахиллесовой пятой Mantis. Теоретически такой ботнет уничтожить проще, чем системы, состоящие из сотен тысяч заражённых машин. Например, можно вычислить заражённые сервисы и написать в компании, владеющие ими. Последние, обладая собственным штатом программистов, самостоятельно сумеют очистить их. Правда, пока неизвестно, занимается ли кто-то этим. Во всяком случае Cloudflare заявлений о попытках ликвидировать ботнет не делала.
По данным отчёта Cloudflare, 20% от всех атак ботнета совершены на компании из США, а 15% — на российские. Чаще всего Mantis атаковал интернет- и телекоммуникационные компании — на них пришлось 36% от всех его атак. Это обычные цели для таких ботнетов. Но ещё 15% атак было направлено против СМИ, что заставляет задаться вопросом, не использовали ли его в современных информационных войнах.
Чума из интернета
- Название ботнета: Mēris
- Число подключённых устройств: от 56 000 до 250 000
Ботнет Mēris — это предшественник Mantis. До обнаружения последнего Mēris обладал статусом самого мощного в мире.
В Mēris входило до 250 000 заражённых устройств, в том числе маршрутизаторы и роутеры. Мощность достигала 25 млн запросов в секунду. Чаще всего Mēris атаковал серверы в США, России и Новой Зеландии.
Самая мощная атака Mēris, ставшая на тот момент сильнейшей в истории интернета, пришлась на осень 2021 года. Под удар попали серверы «Яндекса», частота запросов на подключение на пике достигала 22 млн в секунду. Инфраструктура IT- компании тогда устояла, однако атаку сдержали с большим трудом.
Кроме этого, известно, что Mēris нападал и на другие российские сервисы. Например, портал «Хабр». Эта атака была заметно слабее — около 750 000 запросов в секунду. Поэтому сайт выдержал.
Бунт умных машин
- Название ботнета: Mirai
- Число подключённых устройств: около 100 000
Ботнет Mirai стал известен широкой публике в 2016 году, когда он совершил ряд громких атак. Самая известная из них — против DNS-провайдера DYN (компании, сдающей в аренду клиентам свои доменные серверы). В результате недоступными на время оказались сайты таких клиентов компании, как Twitter, Reddit, CNN, PayPal и многих других. Ботнету удалось фактически выключить на время значительную часть американского сегмента интернета.
Необычным в этой истории стало то, что зомби-сеть объединяла устройства интернета вещей, а также роутеры. Владельцы этих устройств ленились менять пароли, установленные производителями. Этим и воспользовались злоумышленники.
Однако хакеры, которыми оказались 17–18-летние молодые люди, сами тоже попали в западню. Они зачем-то решили пойти на провокацию, атаковав блог Брайена Крэббса — известного исследователя хакеров. Скорость атаки составляла 665 Гбит/c, она была одной из мощнейших на тот момент в истории.
В 2017 году блогер-расследователь отомстил, раскрыв предполагаемого создателя ботнета. Им оказалась некая группировка lelddos, в которую входил юноша Кристофер Скалти — создатель компании по защите от DDoS-атак Datawagon. Другим автором, по мнению Креббса, был некто Парас Джа.
Вину последнего удалось доказать, суд в США в 2018 году вынес ему приговор — шесть месяцев домашнего ареста и 2500 часов обязательных работ. Это стало редким случаем, когда разработчика ботнета удалось найти и наказать.
Гнев богов
- Название ботнета: Zeus
- Число подключённых устройств: около 3,6 млн
Один из самых известных ботнетов в истории, названный в честь греческого бога — громовержца Zeus, получил свою славу не случайно. Число подключённых к нему компьютеров в 2010 году, когда ботнет был наиболее силён, по данным консалтинговой компании Unisys, доходило до 3,6 млн, что для зомби-сетей очень внушительная цифра. Чаще всего злоумышленники использовали эти мощности для перехвата паролей от платёжных систем пользователей. С его помощью можно было воровать деньги из банков Европы и США и переводить на счета на других континентах. Это сделало Zeus одним из самых разыскиваемых ботнетов в США.
В 2010 году американские спецслужбы арестовали 90 подозреваемых членов группировки, занимающейся рассылкой спама с вредоносным кодом. Личности самих создателей ботнета установить доподлинно не удалось, но в 2013 году в Таиланде задержали Хамзу Бенделладжа, известного в сети как Bx1 — именно его считают как минимум одним из вдохновителей проекта Zeus. Самого Хамзу Интерпол разыскивал за другой проект, SpyEye, за него хакера в 2016 году осудили на 25 лет американской тюрьмы.
От других ботнетов Zeus отличали только более качественно написанный код и возможность вносить в него доработки. Это позволяло другим хакерам создавать клонов на основе Zeus. Как правило, они полностью копировали оригинал, однако были значительно слабее его.
Самый известный клон в России — это Zeus GameOver. Его, предположительно, создал хакер из Анапы Евгений Богачев. Этот ботнет объединял от 350 000 до 1 млн машин. С 2011 по 2014 год ботнет украл у компаний и обычных людей около $100 млн. А Богачев стал одним из самых разыскиваемых преступников в США. За информацию о его нахождении пообещали награду в $3 млн.
Компании, специализирующиеся на кибербезопасности, ведут наблюдение за активными зомби-сетями. Так, в Positive Technologies сказали «Секрету», что опасным считаются ботнет Fodcha, к которому подключены 56 000 заражённых устройств, Emotet (49 000 заражённых устройств) и 8220 (30 000 заражённых устройств).
В «Лаборатории Касперского», где есть отдельная группа, наблюдающая за ботнетами, говорят, что по-прежнему остаётся опасным семейство Mirai. Как объяснил Александр Гостев, по современным меркам это достаточно старый ботнет. Но его исходный код доступен любому, поэтому у него постоянно появляются активные клоны.
Цена вопроса
В Даркнете сложился чёрный рынок, где преступники, выращивающие ботнеты, продают доступ к ним. «Секрет» изучил ряд подобных объявлений и выяснил, что стоимость такой услуги в российском сегменте теневого интернета начинается от 10 рублей за один подключённый компьютер. То есть слабенькая сеть, объединяющая 1000 компьютеров, будет стоить от 10 000 рублей.
Кроме того, ботнет предлагают взять в аренду: 3500–4000 компьютеров стоят от $40 до $200 в месяц. За эти деньги покупателям выдают логин и пароль от панели управления на контролирующих серверах. Покупка или аренда крупных ботнетов стоит намного дороже.
Основатель Telegram-канала Russian OSINT Сергей Рэдхант считает, что профессиональные хакеры не пользуются бесплатными решениями. Они создают свои сложные разработки, нанимают персонал для их обслуживания, занимаются масштабированием проекта.
Создание мощного ботнета обходится дорого. Хакеры должны либо сами его разработать, либо найти программистов с нужными навыками и знанием протоколов безопасности и, главное, готовых выполнить заказ.
Главный технологический эксперт «Лаборатории Касперского» Александр Гостев указал, что цена ботнета в первую очередь зависит от того, сколько времени потратили на его создание программисты. Ботнеты уровня Mēris требуют несколько тысяч человеко-часов работы. В дальнейшем они зарабатывают не только на участиях в DDoS-атаках, но и на махинациях с сервисами контекстной рекламы Google Ads и «Яндекс.Директ», а также на краже персональных данных.
Ликвидация ботнета также стоит денег. Как правило, с «фабриками зомби» борются не государство и спецслужбы, а частные компании. Как объяснил эксперт по кибербезопасности Алексей Лукацкий, программисты компаний выявляют ботнеты и взламывают их.
«Они просто перехватывают управление ботнетом на себя. Дальше они могут дать команду ему прекратить существование, т. е. удалить копии программы с заражённых устройств. Либо как минимум поменять логин и пароль от панели управления. Тогда владельцы ботнета потеряют к ней доступ. После этого обычным пользователям или операторам связи, у которых было больше всего пострадавших, рассылается сообщение о том, что их компьютеры были заражены. И дальше они уже сами будут чистить компьютер от вредоносных программ», — рассказал эксперт.
Известен кейс Google по борьбе с зомби-сетями. В 2021 году корпорация вместе с хостинг-провайдерами смогла нарушить работу Glupteba. У этого ботнета было под контролем около 1 млн устройств по всему миру.
Аналитик исследовательской группы Positive Technologies Федор Чунижеков напомнил, что в результате той операции отключили сотни Google-аккаунтов, заблокировали множество доменов, связанных с распространением и работой ботнета. Правда, полностью ликвидировать ботнет оказалось трудной задачей. У него осталась резервная копия, добраться до которой программистам Google не удалось.
Похожая история была и у обнаруженного в 2014 году Emotet. «После захвата инфраструктуры Европолом операторы ботнета продолжили использовать остатки своей сети», — отметил эксперт.
Под контролем спецслужб
В теории ботнеты могут представлять интерес и для сотрудников спецслужб. Последние, управляя «армией ботов», могут совершать атаки на сервисы и государственные сайты во враждебных странах.
Так, совсем недавно США заявили о ликвидации ботнета Cyclops Blink, якобы связанного с российской разведкой. Якобы ботнет должен был атаковать американского производителя сетевых устройств WatchGuard Technologies, однако американцы смогли предотвратить эту угрозу.
Известен также инцидент с ботнетом Stuxnet. В 2010 году он нанёс серьёзный урон ядерной программе Ирана, поразив около 1000 из 9000 центрифуг (устройство для имитации повышенной силы тяжести) на заводе в Натанзе, где обогащался уран. The New York Times выяснил что, возможно, атакой управляли спецслужбы Израиля и США. По словам Александра Гостева, это первый случай, который показал, что ботнеты опасны не только для интернет-сервисов, но и для любых других объектов с доступом к Сети.
Но, по мнению Алексея Лукацкого, всё же спецслужбам невыгодно напрямую управлять ботнетом. «Лучше заплатить небольшую сумму хакерам и попросить их поразить выбранные цели. И тогда уши спецслужб во всей этой «операции» будет не найти», — сказал эксперт.
Лукацкий добавил, что с февраля-22 число ботнетов, совершающих атаки на российские ресурсы, заметно выросло. «Однако после окончания спецоперации (СВО), думаю, их число снова снизится — до уровня начала года. DDoS-атаки трудно окупаются, они просто выводят из строя сервис, однако взамен этого заказчик не получает фактически ничего. Это как стрелять из пушки по воробьям», — указал он.
Виртуальная броня
Большинство опрошенных «Секретом фирмы» аналитиков считают, что для простых пользователей ботнеты не очень опасны. Рядовые юзеры для хакеров всего лишь средство, а цель — серверы крупных компаний или госучреждений.
«Часто на работе компьютеров подключение к ботнетам не сказывается никак, — говорит Алексей Лукацкий. — Хотя в некоторых случаях во время совершаемых атак компьютеры могут плохо работать. Ещё есть угроза, что пользователей могут привлечь к ответственности за использование вредоносных программ. Но о таких случаях я не слышал. Всегда можно сказать, что программа была установлена на компьютер без вашего ведома».
При этом обычному человеку, как правило, сложно понять, что его компьютер подключён к управляемой извне системе, считает Сергей Рэдхант.
«Для этого необходимо постоянно контролировать свои соединения к сети Интернет, проверять, не «отстукивает» ли ваш компьютер на неизвестные серверы. Самым простым способом для минимизации рисков заражения будет использование антивируса в связке с фаерволом», — отметил эксперт.
Основатель и директор по развитию Qrator Labs Александр Лямин добавил, что есть чёткий маркер, что компьютер подключён к ботнету, его может заметить любой пользователь.
«Если при использовании сервисов Google или "Яндекс" человек постоянно видит капчу (код из букв для проверки, робот ли вы или человек. — Прим. ред.), значит, его устройство точно является частью ботнета. В этом случае следует обратиться к специалистам по информационной безопасности. К примеру, когда пользователь окажется подключён к такому ботнету, как Mēris, даже если он является грамотным техническим специалистом, отключиться самому будет непросто», — говорит Лямин.
Скорее всего, ботнеты, ставшие неотъемлемыми «жителями» компьютерного мира, в ближайшем будущем не исчезнут, считают все опрошенные «Секретом фирмы» эксперты. А это значит, что пользователям Сети надо учиться жить с оглядкой на них. И быть готовыми, что в любой момент их компьютеры могут зажить своей собственной «тайной жизнью».
Коллаж: «Секрет фирмы»,freepik.com, unsplash.com/Brooke Cagle, Amr Taha,