Ekonomia botnetu
W ci膮gu ostatnich dziesi臋ciu lat botnety ewoluowa艂y z niewielkich sieci sk艂adaj膮cych si臋 z kilkunastu komputer贸w PC kontrolowanych z jednego centrum C&C (command and control) do z艂o偶onych, rozproszonych system贸w, kt贸re obejmuj膮 miliony komputer贸w i charakteryzuj膮 si臋 zdecentralizowan膮 kontrol膮. Jaki jest cel tworzenia takich gigantycznych sieci zombie? Odpowied藕 na to pytanie mo偶na zawrze膰 w jednym s艂owie: pieni膮dze.
Botnet lub sie膰 zombie to sie膰 komputer贸w zainfekowanych szkodliwym programem, kt贸ra pozwala cyberprzest臋pcom zdalnie kontrolowa膰 zara偶one maszyny bez wiedzy ich u偶ytkownik贸w. Takie sieci zombie sta艂y si臋 藕r贸d艂em dochod贸w dla ca艂ych grup cyberprzest臋pczych. Niezmiennie niski koszt utrzymania botnetu i coraz mniej wiedzy wymaganej do zarz膮dzania takim botnetem przyczyniaj膮 si臋 do wzrostu popularno艣ci, a w konsekwencji, liczby botnet贸w.
Jak powstaje botnet? Co musi zrobi膰 cyberprzest臋pca, kt贸ry potrzebuje botnetu? Istnieje wiele mo偶liwo艣ci, w zale偶no艣ci od umiej臋tno艣ci przest臋pcy. Niestety, ci, kt贸rzy postanowili stworzy膰 botnet od zera, nie b臋d膮 mieli 偶adnych problem贸w ze znalezieniem wskaz贸wek w Internecie.
Cyberprzest臋pca mo偶e stworzy膰 now膮 sie膰 zombie. W tym celu musi zainfekowa膰 maszyny u偶ytkownik贸w specjalnym programem o nazwie bot. Boty to szkodliwe programy, kt贸re 艂膮cz膮 komputery w botnety. Je偶eli osoba, kt贸ra chce rozpocz膮膰 "biznes", nie posiada 偶adnych umiej臋tno艣ci programistycznych, na forach internetowych mo偶e znale藕膰 mn贸stwo ofert "bot贸w na sprzeda偶". T膮 sam膮 drog膮 mo偶na zam贸wi膰 zaciemnianie (zaciemnianie polega na ukryciu kodu 藕r贸d艂owego programu w celu utrudnienia wykrywania przez programy antywirusowe) oraz szyfrowanie kodu tych program贸w, aby zapewni膰 ochron臋 botom przed wykryciem ich przez narz臋dzia bezpiecze艅stwa. Inn膮 mo偶liwo艣ci膮 jest kradzie偶 istniej膮cego botnetu.
Kolejnym krokiem, jaki musi wykona膰 cyberprzest臋pca, jest zainfekowanie maszyn u偶ytkownika botem. W tym celu wykorzystuje jedn膮 z nast臋puj膮cym metod: wysy艂a spam, umieszcza wiadomo艣ci na forach i w portalach spo艂eczno艣ciowych lub przeprowadza atak drive-by download. Ewentualnie, bot mo偶e zawiera膰 funkcj臋 samodzielnego rozmna偶ania si臋, tak膮 jak wirusy i robaki.
Podczas zamawiania wysy艂ek spamowych lub zamieszczania wiadomo艣ci na forach i portalach spo艂eczno艣ciowych, w celu nak艂onienia potencjalnych ofiar do zainstalowania bota, cyberprzest臋pcy wykorzystuj膮 r贸偶ne chwyty socjotechniczne. Na przyk艂ad, oferuj膮 u偶ytkownikowi obejrzenie interesuj膮cego filmu wideo, pod warunkiem 偶e pobior膮 specjalny kodek. Naturalnie, osoba, kt贸ra pobierze i uruchomi plik, nie obejrzy 偶adnego filmu. U偶ytkownik prawdopodobnie nie zauwa偶y 偶adnych zmian, jednak komputer zostanie zainfekowany. W rezultacie, komputer stanie si臋 pos艂usznym s艂ug膮 w艂a艣ciciela botnetu.
Inna, powszechnie stosowna metoda polega na ukradkowym pobieraniu szkodliwego oprogramowania z wykorzystaniem atak贸w drive-by-download. Metoda ta opiera si臋 na wykorzystywaniu r贸偶nych luk w zabezpieczeniach aplikacji, w szczeg贸lno艣ci w popularnych przegl膮darkach, poprzez kt贸re na komputer pobierane jest szkodliwe oprogramowanie w wyniku odwiedzenia przez u偶ytkownika zainfekowanej strony internetowej. S艂u偶膮 do tego specjalne programy zwane exploitami, kt贸re wykorzystuj膮 luki w zabezpieczeniach nie tylko do ukradkowego pobrania szkodliwego oprogramowania, ale r贸wnie偶 uruchomienia go bez wiedzy u偶ytkownika. Je偶eli atak powiedzie si臋, u偶ytkownik nawet nie b臋dzie podejrzewa艂, 偶e z jego komputerem co艣 jest nie tak. Ta metoda rozprzestrzeniania szkodliwego oprogramowania jest szczeg贸lnie niebezpieczna, poniewa偶 zainfekowanie jednego popularnego zasobu sieciowego mo偶e spowodowa膰 zara偶enie dziesi膮tek tysi臋cy komputer贸w.
Rysunek 1: Przyn臋ta na u偶ytkownik贸w (fa艂szywy post na Youtube)
Bot mo偶e zawiera膰 funkcj臋 samodzielnego rozprzestrzeniania si臋 w sieciach komputerowych, np. poprzez infekowanie wszystkich plik贸w wykonywalnych, do kt贸rych mo偶e uzyska膰 dost臋p, lub poprzez skanowanie sieci w poszukiwaniu komputer贸w podatnych na ataki i infekowanie ich. Przyk艂adami takich bot贸w s膮 rodziny Virus.Win32.Virut oraz Net-Worm.Win32.Kido. Pierwszy z nich jest infektorem plik贸w polimorficznych, drugi - robakiem sieciowym. Nie nale偶y lekcewa偶y膰 skuteczno艣ci takiego podej艣cia: sie膰 zombie stworzona przez robaka Kido nale偶y dzisiaj do najwi臋kszych na 艣wiecie.
W艂a艣ciciel botnetu mo偶e kontrolowa膰 zainfekowane komputery niczego niepodejrzewaj膮cych os贸b poprzez centrum C&C, 艂膮czenie si臋 z botami za po艣rednictwem kana艂u IRC, po艂膮czenie sieciowe lub inne dost臋pne kana艂y. Aby botnet zarabia艂 na swojego w艂a艣ciciela, wystarczy po艂膮czy膰 w sie膰 kilkadziesi膮t maszyn. Dochody s膮 uzale偶nione od stabilno艣ci sieci zombie i wsp贸艂czynnika wzrostu.
W jaki spos贸b w艂a艣ciciele botnet贸w zarabiaj膮 pieni膮dze
W jaki spos贸b w艂a艣ciciele botnet贸w zarabiaj膮 pieni膮dze przy pomocy zainfekowanych komputer贸w? Jest kilka g艂贸wnych 藕r贸de艂 dochod贸w: ataki DDoS, kradzie偶 poufnych informacji, spam, phishing, spam SEO, oszuka艅cze klikni臋cia oraz rozprzestrzenianie szkodliwych program贸w oraz program贸w adware. Nale偶y zauwa偶y膰, 偶e ka偶de z tych 藕r贸de艂 z osobna mo偶e zapewni膰 cyberprzest臋pcy spore dochody. Ale dlaczego cyberprzest臋pcy mieliby ogranicza膰 si臋 do jednego 藕r贸d艂a dochod贸w? Przy pomocy botnetu mo偶na wykonywa膰 wszystkie te dzia艂ania ... jednocze艣nie!
Rysunek 2: "Biznes botnetowy"
Ataki DDoS
Wielu analityk贸w uwa偶a, 偶e nawet najwcze艣niejsze botnety posiada艂y funkcjonalno艣膰 DDoS. DDoS to atak, kt贸rego celem jest zmuszenie systemu do odmowy obs艂ugi, tj. spowodowania sytuacji, gdy system nie otrzymuje i nie przetwarza 偶膮da艅 od legalnych u偶ytkownik贸w. Jedna z najpowszechniejszych metod przeprowadzania tego ataku polega na wysy艂aniu ogromnej ilo艣ci 偶膮da艅 do komputera ofiary, co mo偶e spowodowa膰 odmow臋 obs艂ugi, je偶eli atakowany komputer posiada niewystarczaj膮ce zasoby do przetwarzania wszystkich przychodz膮cych 偶膮da艅. Ataki DDoS stanowi膮 pot臋偶n膮 bro艅 w r臋kach haker贸w, a botnety s膮 idealnym narz臋dziem do przeprowadzania takich atak贸w. Ataki DDoS mog膮 by膰 wykorzystywane jako narz臋dzie nieuczciwej konkurencji lub by膰 przejawem cyberterroryzmu.
W艂a艣ciciel botnetu mo偶e 艣wiadczy膰 us艂ugi ka偶demu pozbawionemu skrupu艂贸w przedsi臋biorcy, organizuj膮c atak DDoS na stron臋 internetow膮 jego konkurencji. Strona konkurencji zostanie zdj臋ta z powodu obci膮偶enia spowodowanego atakiem, a cyberprzest臋pca otrzyma skromne (lub wcale nie takie skromne) wynagrodzenie. W艂a艣ciciele botnet贸w mog膮 r贸wnie偶 sami wykorzystywa膰 ataki DDoS, aby wy艂udza膰 pieni膮dze od wi臋kszych firm. Firmy cz臋sto wol膮 spe艂ni膰 偶膮dania cyberprzest臋pc贸w, poniewa偶 usuni臋cie konsekwencji skutecznych atak贸w DDoS mo偶e ich kosztowa膰 znacznie wi臋cej. W styczniu 2009 roku atak przeprowadzony na godaddy.com, du偶ego dostawc臋 hostingu internetowego, spowodowa艂, 偶e kilka tysi臋cy stron internetowych utrzymywanych na serwerach sieciowych tej firmy by艂o niedost臋pnych przez prawie 24 godziny. Co to by艂o? Nieuczciwe posuni臋cie innego popularnego dostawcy hostingu, czy raczej Go Daddy pad艂 ofiar膮 szanta偶u? Wed艂ug nas, oba scenariusze s膮 prawdopodobne. Ten sam dostawca hostingu pad艂 ofiar膮 podobnego ataku w listopadzie 2005 roku, wtedy jednak serwis by艂 niedost臋pny tylko przez godzin臋. Nowy atak by艂 znacznie pot臋偶niejszy, g艂贸wnie na skutek wzrostu liczebno艣ci botnet贸w.
W lutym 2007 roku przeprowadzono seri臋 atak贸w na g艂贸wne serwery nazw, od kt贸rych zale偶y normalne dzia艂anie ca艂ego Internetu. Jest ma艂o prawdopodobne, 偶eby celem tych atak贸w by艂o "zabicie" Internetu, poniewa偶 sieci zombie nie mog膮 dzia艂a膰 bez Internetu. Prawdopodobnie by艂a to demonstracja si艂y i mo偶liwo艣ci sieci zombie.
Jawne oferty przeprowadzenia atak贸w DDoS pojawiaj膮 si臋 na wielu forach tematycznych. Ceny wahaj膮 si臋 od 50 dolar贸w do kilku tysi臋cy dolar贸w za 24-godzinne, ci膮g艂e dzia艂anie botnetu przeprowadzaj膮cego atak DDoS. Ta rozpi臋to艣膰 cenowa jest uzasadniona. Aby wstrzyma膰 sprzeda偶 w niewielkim, niezabezpieczonym sklepie internetowym na jeden dzie艅, wystarczy u偶y膰 stosunkowo niewielki botnet (sk艂adaj膮cy si臋 z oko艂o tysi膮ca komputer贸w), co dla cyberprzest臋pcy nie b臋dzie oznacza艂o zbyt wielkich koszt贸w. Je偶eli jednak konkurencja jest du偶膮 mi臋dzynarodow膮 firm膮 posiadaj膮c膮 dobrze zabezpieczon膮 stron臋 internetow膮, cena b臋dzie znacznie wy偶sza, poniewa偶 skuteczny atak DDoS b臋dzie wymaga艂 znacznie wi臋kszej liczby komputer贸w zombie.
Wed艂ug shadowserver.org, w 2008 roku przeprowadzono oko艂o 190 tysi臋cy atak贸w DDoS, kt贸re przynios艂y cyberprzest臋pcom zyski w wysoko艣ci oko艂o 20 milion贸w dolar贸w. Naturalnie, szacunki te nie uwzgl臋dniaj膮 dochod贸w z szanta偶u, kt贸re nie s膮 mo偶liwe do oszacowania.
Kradzie偶 poufnych informacji
Poufne informacje przechowywane na komputerach u偶ytkownik贸w zawsze b臋d膮 atrakcyjnym celem dla cyberprzest臋pc贸w. Najcenniejsze z takich danych obejmuj膮 numery kart kredytowych, informacje finansowe oraz has艂a do r贸偶nych serwis贸w, takich jak poczta elektroniczna, ftp, komunikatory internetowe itd. Dzisiejsze szkodliwe oprogramowanie pozwala cyberprzest臋pcom wybra膰 dane, kt贸re chc膮 ukra艣膰, poprzez zainstalowanie odpowiedniego modu艂u na zainfekowanym komputerze.
Cyberprzest臋pcy mog膮 sprzedawa膰 skradzione informacje lub wykorzystywa膰 je dla w艂asnych korzy艣ci. Ka偶dego dnia na forach podziemia internetowego pojawiaj膮 si臋 setki nowych ofert sprzeda偶y kont bankowych. Cena jednego konta waha si臋 od 1 dolara do 1 500. Najni偶sza minimalna cena 艣wiadczy o tym, 偶e cyberprzest臋pcy dzia艂aj膮cy w tym biznesie musz膮 obni偶a膰 ceny ze wzgl臋du na konkurencj臋. Aby zarobi膰 wi臋ksz膮 sum臋, musz膮 mie膰 sta艂y dop艂yw 艣wie偶ych danych, kt贸ry zapewnia im przede wszystkim sta艂y wzrost liczebno艣ci sieci zombie.
Carderzy, tj. osoby, kt贸re fa艂szuj膮 karty bankowe, s膮 szczeg贸lnie zainteresowani informacjami finansowymi. O tym, jak dochodowa mo偶e by膰 dzia艂alno艣膰 carder贸w, 艣wiadczy historia brazylijskiej grupy cyberprzest臋pczej, kt贸ra zosta艂a aresztowana dwa lata temu. Przy u偶yciu informacji skradzionych z komputer贸w szajka ta zdo艂a艂a wydoby膰 z kont bankowych 4,74 milion贸w dolar贸w.
Z kolei danymi osobistymi, kt贸re nie s膮 bezpo艣rednio zwi膮zane z finansami u偶ytkownik贸w, interesuj膮 si臋 cyberprzest臋pcy, kt贸rzy fa艂szuj膮 dokumenty, zak艂adaj膮 fa艂szywe konta bankowe, przeprowadzaj膮 nielegalne transakcje itd.
Koszt skradzionych danych zale偶y od pa艅stwa, w kt贸rym mieszka ich prawowity w艂a艣ciciel. Na przyk艂ad, komplet danych osobowych mieszka艅ca Stan贸w Zjednoczonych mo偶e kosztowa膰 od 5 do 8 dolar贸w. Du偶膮 warto艣膰 na czarnym rynku maj膮 dane osobowe mieszka艅c贸w Unii Europejskiej - dwu lub trzykrotnie wy偶sz膮 ni偶 dane mieszka艅c贸w Stan贸w Zjednoczonych lub Kanady. Wynika to z tego, 偶e cyberprzest臋pcy mog膮 wykorzystywa膰 te dane w ka偶dym pa艅stwie Unii Europejskiej. Przeci臋tny koszt pe艂nego pakietu danych dotycz膮cych jednej osoby wynosi oko艂o 7 dolar贸w.
Innym rodzajem informacji uzyskiwanych przy u偶yciu botnet贸w s膮 adresy e-mail. W przeciwie艅stwie do numer贸w kart kredytowych i kont bankowych, na jednym zainfekowanym komputerze mo偶na zebra膰 spor膮 liczb臋 adres贸w e-mail. Takie adresy s膮 nast臋pnie sprzedawane - czasami "hurtowo", na megabajty. G艂贸wnymi klientami s膮 naturalnie spamerzy. Jedna lista obejmuj膮ca milion adres贸w e-mail kosztuje od 20 do 100 dolar贸w, podczas gdy za wys艂anie spamu do tego miliona adres贸w spamerzy licz膮 sobie od 150 do 200 dolar贸w - co daje im ogromny zysk.
Przest臋pcy s膮 r贸wnie偶 zainteresowani kontami u偶ytkownik贸w na r贸偶nych p艂atnych serwisach i sklepach internetowych. S膮 one z pewno艣ci膮 ta艅sze ni偶 konta bankowe, jednak ich sprzeda偶 wi膮偶e si臋 z mniejszym ryzykiem zwr贸cenia uwagi organ贸w 艣cigania. Na przyk艂ad, konta w popularnym sklepie internetowym Steam z dost臋pem do dziesi臋ciu gier s膮 sprzedawane za 7 do 15 dolar贸w za konto.
Rysunek 3: Wpis na forum o ofercie sprzeda偶y kont w sklepie Steam
Phishing
Nowe strony phishingowe powstaj膮 masowo, potrzebuj膮 jednak zabezpieczenia przed zamkni臋ciem. Sieci zombie obligatoryjnie posiadaj膮 implementacj臋 technologii fast flux, kt贸ra pozwala cyberprzest臋pcom zmienia膰 adresy IP stron internetowych co kilka minut bez zmiany nazwy domeny. Pozwala to przed艂u偶y膰 d艂ugo艣膰 偶ycia stron phishingowych poprzez utrudnienie ich wykrycia i zdj臋cia. Ca艂a koncepcja opiera si臋 na wykorzystywaniu komputer贸w domowych stanowi膮cych cz臋艣膰 botnetu jako serwer贸w sieciowych z "zawarto艣ci膮 phishingow膮". Pod wzgl臋dem ukrywania fa艂szywych stron internetowych w Sieci fast flux jest skuteczniejsz膮 metod膮 ni偶 serwery proxy.
Rock Phish, znana grupa phishingowa, wsp贸艂pracuje z Asprox, operatorem botnetu. W po艂owie zesz艂ego roku 'Rock Phishers', kt贸rzy stoj膮 za po艂ow膮 atak贸w phishingowych i spowodowali milionowe straty poniesione przez osoby korzystaj膮ce z us艂ug bankowo艣ci online, wzbogacili swoj膮 infrastruktur臋 o funkcjonalno艣膰 fast-flux. Zaj臋艂o im to oko艂o pi臋ciu miesi臋cy i zosta艂o wykonane bardzo profesjonalnie. Zamiast tworzy膰 swoj膮 w艂asn膮 sie膰 fast flux, phisherzy nabyli gotowe rozwi膮zanie od posiadaczy botnetu Asprox.
Za hosting serwis贸w fast flux cyberprzest臋pcy, w wi臋kszo艣ci phisherzy, p艂ac膮 w艂a艣cicielom botnet贸w od 1 000 do 2 000 dolar贸w miesi臋cznie.
艢redni doch贸d z phishingu jest por贸wnywalny do zysk贸w z kradzie偶y poufnych danych przy u偶yciu szkodliwego oprogramowania i wynosi miliony dolar贸w rocznie.
Spam
Codziennie na ca艂ym 艣wiecie wysy艂ane s膮 miliony wiadomo艣ci spamowych. Wysy艂anie niechcianej poczty to g艂贸wne zadanie dzisiejszych bonet贸w. Wed艂ug danych firmy Kaspersky Lab, oko艂o 80% spamu jest wysy艂ane za po艣rednictwem sieci zombie.
Z komputer贸w praworz膮dnych obywateli wysy艂ane s膮 miliardy reklam Viagry, podr贸bek zegark贸w, kasyn online itd. Wiadomo艣ci te zapychaj膮 kana艂y komunikacyjne i skrzynki pocztowe. W ten spos贸b hakerzy psuj膮 reputacj臋 niewinnych u偶ytkownik贸w: adresy nadawc贸w, z kt贸rych pochodzi spam, s膮 umieszczane przez firmy antywirusowe na czarnych listach.
W ci膮gu ostatnich lat rozszerzy艂 si臋 zakres us艂ug spamowych, obejmuj膮c spam ICQ, spam na portalach spo艂eczno艣ciowych, forach i blogach. Jest to r贸wnie偶 "zas艂uga" w艂a艣cicieli botnet贸w: nie trzeba du偶o wysi艂ku, aby doda膰 nowy modu艂 do klienta bota, otwieraj膮c mo偶liwo艣ci na nowy biznes z pomoc膮 takich slogan贸w, jak "Spam na Facebooku. Tanio."
Ceny spamu r贸偶ni膮 si臋 w zale偶no艣ci od odbiorc贸w i liczby adres贸w. Cena wysy艂ki mo偶e waha膰 si臋 od 70 dolar贸w za kilka tysi臋cy adres贸w do 1 000 dolar贸w za dziesi膮tki milion贸w adres贸w.
W zesz艂ym roku spamerzy zarobili na wysy艂aniu wiadomo艣ci oko艂o 780 000 000 dolar贸w. Imponuj膮cy wynik jak na reklam臋, kt贸rej nikt nie chce?
Spam w wyszukiwarkach
Kolejnym zastosowaniem botnet贸w jest optymalizacja dla wyszukiwarek internetowych (SEO, ang. search engine optimization). Webmasterzy wykorzystuj膮 SEO w celu poprawy pozycji swoich stron internetowych w wynikach wyszukiwania, poniewa偶 im wy偶sza b臋dzie pozycja danej strony, tym wi臋cej os贸b odwiedzi j膮 za po艣rednictwem wyszukiwarek.
Podczas oceny odpowiednio艣ci strony wyszukiwarki wykorzystuj膮 szereg r贸偶nych kryteri贸w. Jednym z g艂贸wnych parametr贸w jest liczba odsy艂aczy do strony, jakie znajduj膮 si臋 na innych portalach lub domenach. Im wi臋cej takich odsy艂aczy zostanie znalezionych, tym wy偶ej robot wyszukiwarki oceni stron臋. Na pozycjonowanie stron maj膮 r贸wnie偶 wp艂yw s艂owa zawarte w odsy艂aczu. Na przyk艂ad odsy艂acz "kup nasze komputery" b臋dzie mia艂 wi臋ksz膮 wag臋 dla takich wyszukiwa艅, ni偶 "kup komputer".
SEO stanowi dobrze prosperuj膮cy biznes. Wiele firm s艂ono p艂aci swoim webmasterom, aby wysoko wypozycjonowali ich strony w wynikach wyszukiwania. Operatorzy botnet贸w zapo偶yczyli sobie niekt贸re z ich technik i zautomatyzowali proces optymalizacji dla wyszukiwarek internetowych.
Dlatego nie zdziw si臋, gdy odkryjesz wi臋ksz膮 liczb臋 odsy艂aczy stworzonych przez zupe艂nie nieznan膮 Ci osob臋 w komentarzach do Twojego bloga. To oznacza, 偶e kto艣 wynaj膮艂 w艂a艣cicieli botnetu, aby wypromowali dany zas贸b sieciowy. Na komputerze zombie zosta艂 zainstalowany specjalny program, kt贸ry zostawia komentarze zawieraj膮ce odsy艂acze do strony promowanej na popularnych zasobach.
艢rednia cena nielegalnego spamu SEO wynosi oko艂o 300 dolar贸w miesi臋cznie.
Instalacja szkodliwego oprogramowania i oprogramowania adware
Wyobra藕 sobie, 偶e czytasz sw贸j ulubiony magazyn motoryzacyjny online i nagle pojawia si臋 okno wyskakuj膮ce z ofert膮 zakupu oryginalnych akcesori贸w samochodowych. Wydawa艂oby si臋, 偶e nie ma w tym nic z艂ego, ale Ty jeste艣 ca艂kowicie pewny, 偶e nie instalowa艂e艣 偶adnego oprogramowania wyszukuj膮cego przydatne (lub nieprzydatne) przedmioty. Jednak sprawa jest prosta: w艂a艣ciciele botnetu "zaopiekowali si臋" Tob膮.
Wiele firm, kt贸re oferuj膮 reklamy online, p艂aci za ka偶de zainstalowanie swojego oprogramowania. Zwykle nie s膮 to du偶e pieni膮dze - od 30 cent贸w do 1,50 dolar贸w za ka偶dy zainstalowany program. Je偶eli jednak cyberprzest臋pca ma do swojej dyspozycji botnet, kilkoma klikni臋ciami mo偶e zainstalowa膰 dowolne oprogramowanie na tysi膮cach komputer贸w, zarabiaj膮c na tym spore pieni膮dze. J. K. Shiefer, znany cyberprzest臋pca, kt贸ry zosta艂 skazany w 2007 roku, "zarobi艂" ponad 14 000 dolar贸w w ci膮gu jednego miesi膮ca, wykorzystuj膮c botnet sk艂adaj膮cy si臋 z ponad 250 000 maszyn do zainstalowania oprogramowania adware na 10 000 komputer贸w.
Cyberprzest臋pcy, kt贸rzy rozprzestrzeniaj膮 szkodliwe programy, cz臋sto stosuj膮 to samo podej艣cie, p艂ac膮c za ka偶d膮 instalacj臋 swojego oprogramowania. Ten rodzaj wsp贸艂pracy mi臋dzy cyberprzest臋pcami nosi nazw臋 partnerstwa. Stawki za instalacj臋 oprogramowania na komputerach u偶ytkownik贸w z r贸偶nych pa艅stw s膮 bardzo zr贸偶nicowane. Na przyk艂ad, 艣rednia cena zainstalowania szkodliwego programu na tysi膮cach komputer贸w wynosi 3 dolary w Chinach, natomiast w Stanach Zjednoczonych 120 dolar贸w. Taka rozpi臋to艣膰 stawek jest ca艂kiem zrozumia艂a, poniewa偶 komputery u偶ytkownik贸w w krajach rozwini臋tych mog膮 dostarczy膰 cyberprzest臋pcom znacznie cenniejsze informacje, przy pomocy kt贸rych mog膮 zarobi膰 znacznie wi臋cej pieni臋dzy.
Oszuka艅cze klikni臋cia
Agencje reklamy online, kt贸re stosuj膮 system PPC (Pay-Per-Click), p艂ac膮 za unikatowe klikni臋cia reklam. W艂a艣ciciele botnet贸w mog膮 zarobi膰 spor膮 fortun臋 na oszukiwaniu takich firm.
Przyk艂adem jest dobrze znana sie膰 Google AdSense. Reklamodawcy p艂ac膮 Google za klikni臋cia takich reklam w nadziei, 偶e u偶ytkownicy, kt贸rzy odwiedz膮 w ten spos贸b ich strony, dokonaj膮 zakupu.
Z kolei Google umieszcza reklamy kontekstowe na r贸偶nych stronach internetowych bior膮cych udzia艂 w programie AdSense, p艂ac膮c w艂a艣cicielom stron internetowych odsetek od ka偶dego klikni臋cia. Niestety, nie wszyscy w艂a艣ciciele stron internetowych s膮 uczciwi. Przy pomocy sieci zombie haker mo偶e wygenerowa膰 w ci膮gu jednego dnia tysi膮ce unikatowych klikni臋膰 - ka偶de z innej maszyny, aby nie wzbudzi膰 podejrze艅 Google. W ten spos贸b pieni膮dze wydane na kampanie reklamowe trafiaj膮 do kieszeni hakera. Niestety, do tej pory nikt nie zosta艂 skazany za ten rodzaj oszustwa.
Wed艂ug Click Forensics, w 2008 roku oko艂o 16-17% wszystkich klikni臋膰 odsy艂aczy do reklam by艂o "oszukanych", z czego jedna trzecia zosta艂a wygenerowana przez botnety. Z prostej kalkulacji wynika, 偶e w艂a艣ciciele botnetu zarobili "na klikni臋ciach" 33 miliony dolar贸w. Ca艂kiem nie藕le, bior膮c pod uwag臋 fakt, 偶e ca艂a praca polega艂a na klikaniu myszk膮!
Wydzier偶awianie i sprzeda偶 botnet贸w
Wr贸膰my teraz do zapracowanych w艂a艣cicieli botnet贸w. Dla nich znana zasada Karola Marksa "towary - pieni膮dze - towary" mog艂aby brzmie膰: "botnet - pieni膮dze - botnet". Utrzymanie botnetu, zapewnienie sta艂ego dop艂ywu nowych komputer贸w zombie, ochrona bot贸w przed wykryciem przez produkty antywirusowe oraz uniemo偶liwienie zlokalizowania centrum C&C wymaga od haker贸w zainwestowania zar贸wno pieni臋dzy jak i czasu, dlatego nie maj膮 ju偶 czasu na wysy艂anie spamu, instalowanie oprogramowania czy kradzie偶 i sprzeda偶 informacji. O wiele 艂atwiej jest wydzier偶awi膰 botnet lub sprzeda膰 go, zw艂aszcza 偶e nie brakuje os贸b, kt贸re ch臋tnie go kupi膮.
Wydzier偶awienie botnetu pocztowego, kt贸ry w ci膮gu minuty mo偶e wys艂a膰 oko艂o 1 000 wiadomo艣ci , przynosi oko艂o 2 000 dolar贸w miesi臋cznie. Cena "gotowego" botnetu zale偶y od liczby zainfekowanych komputer贸w. Gotowe botnety s膮 szczeg贸lnie popularne na angloj臋zycznych forach. Niewielkie botnety sk艂adaj膮ce si臋 z kilkuset bot贸w kosztuj膮 od 200 do 700 dolar贸w, 艣rednio oko艂o p贸艂 dolara za jeden bot. Za du偶e botnety trzeba zap艂aci膰 o wiele wi臋cej. Botnet Shadow, kt贸ry zosta艂 stworzony przez 19-letniego hakera z Holandii i liczy艂 ponad 100 000 komputer贸w, zosta艂 wystawiony na sprzeda偶 za 36 000 dolar贸w. Za tak膮 sum臋 mo偶na kupi膰 niewielki dom w Hiszpanii, jednak brazylijski cyberprzest臋pca wola艂 zainwestowa膰 w botnet.
Podsumowanie
Do kieszeni os贸b dzia艂aj膮cych w biznesie botnetowym trafiaj膮 bajo艅skie sumy. Do zwalczania tego biznesu wykorzystywane s膮 r贸偶ne metody, jednak na poziomie legislacyjnym s膮 one ca艂kowicie nieskuteczne. Ustawy dotycz膮ce spamu oraz rozwoju i rozprzestrzeniania szkodliwych program贸w lub w艂ama艅 do sieci komputerowych nie s膮 egzekwowane w wielu pa艅stwach, nawet je偶eli istniej膮. W艂a艣cicieli lub tw贸rc贸w botnet贸w, kt贸rzy zostali skazani za swoj膮 dzia艂alno艣膰, mo偶na policzy膰 na palcach dw贸ch r膮k. Za to liczba botnet贸w, kt贸re nadal s膮 aktywne w Internecie, przekroczy艂a 3 600. W rzeczywisto艣ci, zliczenie dzia艂aj膮cych botnet贸w nie jest 艂atwym zadaniem, poniewa偶 opr贸cz kilkudziesi臋ciu du偶ych botnet贸w, kt贸rych trudno nie zauwa偶y膰, istnieje spora liczba mniejszych sieci zombie, kt贸re nie s膮 艂atwe do wykrycia i wyizolowania.
Wygl膮da na to, 偶e w obecnej sytuacji najskuteczniejsz膮 metod膮 zwalczania botnet贸w jest po艂膮czenie wysi艂k贸w ekspert贸w ds. zwalczania wirus贸w, dostawc贸w us艂ug internetowych oraz organ贸w 艣cigania. Dzi臋ki takiej wsp贸艂pracy uda艂o si臋 ju偶 zamkn膮膰 trzy firmy: EstDomains, Atrivo oraz McColo. Zamkni臋cie McColo, na kt贸rego serwerach znajdowa艂y si臋 centra kontroli kilku najwi臋kszych botnet贸w spamowych, spowodowa艂o zmniejszenie ilo艣ci spamu kr膮偶膮cego w Internecie o 50%.
Eksperci 艣ledz膮 aktywno艣膰 tysi臋cy botnet贸w, produkty antywirusowe wykrywaj膮 i niszcz膮 boty na ca艂ym 艣wiecie, ale tylko organy 艣cigania mog膮 zablokowa膰 centra kontroli i schwyta膰 cyberprzest臋pc贸w, a tym samym "wy艂膮czy膰" botnety na d艂u偶szy czas. Zamkni臋cie McColo da艂o kr贸tkotrwa艂y efekt: kilka tygodni p贸藕niej ruch spamowy zacz膮艂 powraca膰 do poprzedniego poziomu. Po tym, jak w艂a艣ciciele botnet贸w przenie艣li swoje centra kontroli do innych dostawc贸w hostingu, nic nie sta艂o im na przeszkodzie, aby kontynuowali swoj膮 dzia艂alno艣膰. Potrzeba zatem konsekwentnych dzia艂a艅, a nie tylko sporadycznych kontroli. Niestety, odci臋cie jednej g艂owy hydry nie wystarczy!
Bez pomocy u偶ytkownik贸w nie jest mo偶liwe zwyci臋stwo w walce z botnetami. Lwi膮 cz臋艣膰 pot臋偶nej armii bot贸w stanowi膮 u偶ytkownicy komputer贸w domowych. Niestosowanie si臋 do prostych zasad bezpiecze艅stwa, takich jak wykorzystywanie oprogramowania antywirusowego, wykorzystywanie mocnych hase艂 do kont oraz wy艂膮czenia funkcji automatycznego odtwarzania no艣nik贸w przeno艣nych, mo偶e spowodowa膰, 偶e Tw贸j komputer zasili botnet, dostarczaj膮c cyberprzest臋pcom Twoje dane i zasoby. Dlaczego mia艂by艣 pomaga膰 cyberprzest臋pcom?
殴r贸d艂o: Kaspersky Lab |