Čo sú botnety a ako môžu z vášho počítača urobiť hackerskú zbraň?

Jedného dňa sa váš počítač začne správať podivne. Je pomalší než obvykle, ventilátory sa nečakane roztočia naplno, a hoci nerobíte nič náročné, zdá sa, že niečo na pozadí spotrebováva systémové zdroje. Bohužiaľ s vysokou pravdepodobnosťou ste sa nevedomky stali súčasťou botnetu – jednej z najnebezpečnejších zbraní v arzenáli kybernetických zločincov.

Čo je to botnet?

Botnet je sieť infikovaných počítačov a zariadení, ktoré sú tajne ovládané útočníkom (často označovaným ako „botmaster“). Názov vznikol spojením slov „robot“ a „network“ (sieť), čo výstižne popisuje jeho podstatu – armádu počítačových „robotov“ pripravených plniť príkazy svojho pána.

Každý infikovaný počítač v tejto sieti sa nazýva „bot“ alebo „zombie“. To, čo robí botnety tak nebezpečnými, je ich kolektívna sila. Zatiaľ čo jeden infikovaný počítač má obmedzený potenciál, tisíce alebo dokonca milióny spojených zariadení vytvárajú mocnú výpočtovú silu, ktorú možno zneužiť na rôzne škodlivé aktivity.

Ako sa váš počítač stane súčasťou botnetu?

Proces, ktorým sa váš počítač premení na poslušného „bota“, začína infekciou malvérom.

Existuje niekoľko bežných spôsobov, ako k tomu môže dôjsť:

• Phishingové e-maily – Obdržíte zdanlivo legitímny e-mail s odkazom alebo prílohou, ktorá obsahuje škodlivý kód.
• Drive-by downloads – Navštívite kompromitovanú webovú stránku, ktorá automaticky stiahne a nainštaluje malvér bez vášho vedomia.
• Zraniteľný softvér – Útočníci zneužijú bezpečnostné chyby v aplikáciách alebo operačnom systéme, ktoré neboli aktualizované.
• Sociálne inžinierstvo – Ste presvedčení, aby ste si nainštalovali program, ktorý je v skutočnosti trójsky kôň obsahujúci zadné vrátka pre útočníkov.

Po úspešnej infekcii sa vo vašom systéme usadí malvér, ktorý väčšinou zostane nenápadný. Je navrhnutý tak, aby sa skryl pred antivírusovými programami a používateľmi. Potom sa spojí s tzv. command and control (C&C) serverom – centrálnym uzlom, odkiaľ botmaster riadi celú sieť.

Ako útočníci využívajú infikované počítače?

Akonáhle je botnet vytvorený, môže byť použitý na rôzne škodlivé aktivity. Tie najznámejšie si preberieme nižšie.

DDoS útoky (Distributed Denial of Service)

Najjznámejšie využitie botnetov sú DDoS útoky. Útočník v tomto prípade nariadi všetkým botom v sieti, aby súčasne zasielali požiadavky na konkrétnu webovú službu alebo server. Masívne množstvo prevádzky zahlcuje cieľový server, ktorý potom nie je schopný spracovávať legitímne požiadavky.

Príkladom môže byť botnet Mirai, ktorý v roku 2016 spôsobil jeden z najväčších DDoS útokov v histórii, keď nakrátko vyradil z prevádzky významné internetové služby vrátane Twitteru, Netflixu a Redditu.

Rozosielanie spamu a šírenie malvéru

Váš počítač môže byť použitý na rozosielanie nevyžiadaných e-mailov alebo ďalšie šírenie malvéru. Útočníci tak môžu distribuovať spam, bez toho aby odhalili svoju skutočnú identitu, pretože e-maily pochádzajú z legitímnych, avšak kompromitovaných počítačov.

Krádeže citlivých údajov

Botnet môže byť vybavený funkciami pre sledovanie stlačení kláves, vyhotovovanie snímok obrazovky alebo prehľadávanie súborov. To útočníkom umožňuje ukradnúť vaše heslá, čísla kreditných kariet, osobné údaje alebo obchodné tajomstvá.

Ťažba kryptomien

V posledných rokoch sa stalo populárnym využívať výpočtovú silu botnetov na ťažbu kryptomien (tzv. cryptojacking). Váš počítač môže v pozadí ťažiť Bitcoin, Monero alebo iné kryptomeny, zatiaľ čo všetok zisk putuje do vrecák útočníka. Vy medzitým platíte zvýšenú spotrebu elektriny a trápíte sa zníženým výkonom svojho zariadenia.

Prenájom botnetov

Mnoho útočníkov dokonca prenajíma svoje botnety iným kybernetickým zločincom – ide o model známy ako „Botnet-as-a-Service“ (BaaS). Za poplatok si môže prakticky ktokoľvek prenajať botnet pre svoje vlastné škodlivé účely, bez nutnosti technických znalostí potrebných k jeho vytvoreniu.

Známe botnety a ich dopady

História botnetov je plná príkladov ničivých sietí, ktoré spôsobili značné škody.

Conficker

Conficker, objavený koncom roku 2008, rýchlo vyrástol v jeden z najznámejších botnetov v histórii kyberkriminality. Na vrchole svojej aktivity v roku 2009 infikoval cez 10 miliónov Windows počítačov po celom svete, čo z neho urobilo jednu z najväčších botnet sietí všetkých čias.

Čo činilo Conficker mimoriadne nebezpečným, bola jeho schopnosť neustále sa aktualizovať a brániť sa detekcii. Malvér dokázal blokovať prístup k bezpečnostným webom, znemožňoval sťahovanie aktualizácií a disponoval pokročilými funkciami pre zahladzovanie stôp.

Napriek tomu, že proti nemu bola vytvorená špeciálna pracovná skupina (Conficker Working Group), ktorá zahŕňala významné bezpečnostné spoločnosti, zostáva Conficker dodnes čiastočne aktívny, aj keď v oveľa menšom meradle.

Gameover Zeus

Gameover Zeus sa objavil okolo roku 2011 a rýchlo sa stal jedným z veľmi obávaných finančných malvérov. Špecializoval sa na krádeže bankových údajov a hesiel, pričom sa odhaduje, že spôsobil finančné škody presahujúce 100 miliónov dolárov.

Na rozdiel od svojich predchodcov používal šifrovanú peer-to-peer komunikačnú sieť miesto tradičných C&C serverov, čo značne sťažovalo jeho odhalenie a odstránenie. Tento botnet bol často spojený s ransomwarom CryptoLocker, ktorý šifroval súbory obetí a požadoval výkupné.

V roku 2014 prebehla rozsiahla medzinárodná operácia s názvom „Operation Tovar“, počas ktorej sa orgánom činným v trestnom konaní z niekoľkých krajín podarilo dočasne narušiť infraštruktúru botnetu. Jeho tvorca, Rus Evgenij Bogačev, bol obvinený a dodnes figuruje na zozname FBI s odmenou 3 milióny dolárov za informácie vedúce k jeho zadržaniu.

Mirai

Mirai, ktorý sa objavil v roku 2016, priniesol zásadnú zmenu v poňatí botnetov, keď sa zameral predovšetkým na IoT zariadenia ako kamery, routery a detské monitory. Botnet využíval jednoduchú, ale účinnú stratégiu – systematicky prehľadával internet a pokúšal sa prihlásiť do zariadení pomocou databázy výchozích prihlasovacích údajov.

Vzhľadom na to, že mnohí používatelia nikdy nemenia továrenské nastavenie, bol tento prístup prekvapivo úspešný. Mirai získal celosvetovú pozornosť, keď 21. októbra 2016 vykonal masívny DDoS útok na spoločnosť Dyn, poskytovateľa DNS služieb.

Útok dočasne vyradil z prevádzky významné internetové služby vrátane Twitteru, Netflixu, Redditu a mnohých ďalších. Najviac znepokojujúce na Mirai bolo, že jeho zdrojový kód bol zverejnený online, čo viedlo k vytvoreniu mnohých odvodenín a napodobovateľov.

Mirai tak prakticky odštartoval novú éru IoT botnetov, ktoré naďalej predstavujú významnú hrozbu vzhľadom na rastúci počet často nedostatočne zabezpečených IoT zariadení.

Emotet

Emotet sa prvýkrát objavil v roku 2014 ako relatívne jednoduchý bankový trojan, ale postupne sa vyvinul v sofistikovanú modulárnu infraštruktúru na distribúciu malvéru. Bol označovaný ako „najnebezpečnejší malvér sveta“ až do jeho rozbitia medzinárodnou policajnou operáciou v januári 2021.

Jeho hlavná sila spočívala v schopnosti šíriť sa prostredníctvom napadnutých e-mailov, ktoré často obsahovali škodlivé dokumenty a využívali sociálne inžinierstvo na presvedčenie obetí, aby povolili makrá.

Emotet fungoval ako „malware-as-a-service“ a bol prenajímaný iným kyberzločincom na distribúciu ďalšieho škodlivého softvéru, vrátane ransomwaru ako Ryuk alebo bankových trojanov ako TrickBot. Jeho modularita umožňovala operátorom prispôsobiť útok konkrétnym cieľom a neustále meniť taktiky, aby sa vyhli detekcii.

Aj keď bol v januári 2021 neutralizovaný koordinovanou akciou policajných zložiek ôsmich krajín (vrátane Holandska, Nemecka a USA), existujú obavy, že by sa mohol v budúcnosti znovu objaviť, ako sa to stalo u mnohých iných botnetov.

Ako zistím, že je môj počítač súčasťou botnetu?

Detekcia botnetu môže byť obtiažna, pretože moderný malvér je navrhnutý tak, aby zostal skrytý a nenápadný. Zpozornieť by ste mali, ak sa počítač bez zjavného dôvodu spomaľuje, ventilátor sa často spúšťa naplno aj pri bežnej práci, alebo zaznamenávate neobvyklú sieťovú aktivitu v čase, keď počítač aktívne nepoužívate.

Ďalšími varovnými signálmi môže byť zvláštne správanie webových prehliadačov, ako sú nečakané presmerovania alebo samovoľné otváranie nových záložiek. Podozrivé je tiež akékoľvek nevysvetliteľné zmeny v nastavení systému, neobvyklé systémové udalosti alebo chybové hlášky objavujúce sa vo zvýšenej miere.

Veľmi znepokojivým príznakom je, keď vaše kontakty na sociálnych sieťach začnú dostávať správy, ktoré ste vedome neodoslali – to môže signalizovať, že útočníci získali prístup k vašim účtom alebo že váš počítač aktívne šíri malvér.

Ako chrániť svoje zariadenie pred botnetom?

Prevencia je vždy lepšia ako liečba, zvlášť keď hovoríme o botnetoch. Nižšie sme pre vás spísali niekoľko spôsobov, ako svoje zariadenia chrániť.

Udržujte softvér aktuálny

Pravidelné aktualizácie operačného systému a aplikácií sú zásadné. Výrobcovia softvéru pravidelne vydávajú bezpečnostné záplaty, ktoré opravujú zraniteľnosti, ktoré by mohli byť zneužité na infikovanie vášho zariadenia.

Používajte silné heslá a dvojfaktorovú autentizáciu

Silné, jedinečné heslá pre každý účet a dvojfaktorová autentizácia významne znižujú riziko neoprávneného prístupu. Zvážte použitie správcu hesiel, ktorý vám pomôže udržať prehľad o vašich prihlasovacích údajoch. Využiť môžete aj autentizačné aplikácie.

Buďte obozretní pri otváraní e-mailov a sťahovaní súborov

Neotvárajte prílohy alebo odkazy v e-mailoch od neznámych odosielateľov. Aj keď e-mail vyzerá, že pochádza od známej osoby, ak je neočakávaný alebo vyzerá podozrivo, overte jeho pravosť iným komunikačným kanálom. Danú osobu napríklad zavolajte alebo ju kontaktujte cez sociálne siete.

Inštalujte softvér iba z dôveryhodných zdrojov

Sťahujte a inštalujte aplikácie iba z oficiálnych obchodov alebo priamo z webových stránok výrobcu. Vyvarujte sa pirátskym softvérom, ktoré často obsahujú malware.

Používajte kvalitný bezpečnostný softvér

Investujte do bezpečnostného riešenia, ktoré ponúka ochranu v reálnom čase proti rôznym typom hrozieb. Zároveň pravidelne vykonávajte úplné skenovanie systému.

Zabezpečte svoju domácu sieť

Zmeňte predvolené prihlasovacie údaje na svojom routeri, používajte šifrovanie WPA3, ak je dostupné, a pravidelne aktualizujte firmware routeru.

Čo robiť, ak je môj počítač infikovaný?

Ak máte podozrenie, že váš počítač je súčasťou botnetu, nasledujúce kroky vám môžu pomôcť:

1. Odpojte zariadenie od internetu, aby nemohlo ďalej komunikovať s C&C serverom alebo vykonávať škodlivé aktivity.
2. Zmeňte všetky heslá z iného, neinfikovaného zariadenia.
3. Spustite úplné skenovanie antivírusovým programom v režime núdzového spustenia, ktorý obmedzí schopnosť malwaru aktívne sa brániť.
4. Použite špecializované nástroje pre odstránenie botnetov, ktoré ponúkajú overené bezpečnostné spoločnosti.
5. Zvážte preinštalovanie operačného systému v prípade závažnej infekcie. Toto je najspoľahlivejší spôsob, ako sa zbaviť odolného malwaru, hoci je časovo náročný.

Pamätajte, že v boji proti botnetom sme všetci na jednej lodi. Každý počítač, ktorý zostane nezabezpečený, sa môže stať zbraňou v rukách kybernetických zločincov. Môžete sa im však brániť, a to obozretnosťou pri prechádzaní internetu a inštaláciou kvalitných antivírusových programov.