Ботнеты: оружие в телекоммуникационной войне

Ботнеты: оружие в телекоммуникационной войне
2016 год. Республика Либерия – небольшая страна в западной Африке площадью 111 тысяч квадратных километров – столкнулась с серьезной проблемой: ее коммуникационная сеть оказалась в коллапсе. Большинство жителей страны из 4,3-миллионного населения осталась без Интернета, а провайдер Lonestar, который контролирует большую часть национальной сети, понятия не имеет, что все же произошло – единственное, что точно известно, так это то, что сеть не работает.

Со временем стали понятны некоторые аспекты случившегося.Виновником инцидента является Даниэль Кей – британский кибер-преступник, который, как утверждается, был нанят директором Cellman (основного конкурента Lonestar в Либерии) для атаки на ИТ-безопасность Lonestar до тех пор, пока она не будет выведена из строя, что спровоцировало сбой в сети практически во всей стране. Кей уже получил тюремный срок , а на его счету значится ряд таких инцидентов в различных странах мира.

Кей сам вызвал такой коллапс с отключением сети, но все же он действовал не в одиночку: его комплексная стратегия включала в себя множество бот-сетей (ботнетов), которые непрерывно и одновременно атаковали телефонного оператора до тех пор, пока не вывели из строя его системы информационной безопасности.

Как работает атака ботнетов
Атаки, которые используют бот-сети, становятся все более популярными, что мы и наблюдали в течение 2018 года . Цель данной стратегии заключается в том, чтобы кибер-преступник (владелец бот-сети, бот-мастер или bot herder) накопил как можно больше ботов (т.е. зараженных устройств). Затем эти боты используются для проведения одновременных  скоординированных атак, преследующих определенную цель: прорыв информационной безопасности одной или нескольких систем.

Боты могут иметь несколько точек проникновения: незаконное ПО, вредоносное ПО, которое попадает на устройство в результате неосторожного использования сетей, вредоносные файлы, которые находятся во вложениях в электронных письмах и т.д. По сути, цель состоит в том, чтобы иметь несколько точек, с которых может осуществляться атака, поэтому если их использовать скоординировано, то можно причинить жертве огромный ущерб.

Последствия такого рода атаки
Когда компания сталкивается с атакой ботнетов, то она может испытать следующие последствия:

1. Отключение сети. Боты могут быть запрограммированы на массированный запуск бесконечного числа запросов на определенный веб-сайт, что приводит к его отключению в результате такой распределенной атаки на отказ в обслуживании ( DDoS ). Именно это и произошло с сетью Либерии. А чтобы найти еще один пример, не надо далеко ходить: в 2018 году была кибер-атака на веб-сайт Эдинбургского Университета .

2. Сетевые инфекции. Атака ботнетов может быть направлена не просто на веб-сайт компании, но и непосредственно на ее ИТ-системы. Таким образом, атака может иметь несколько точек проникновения в одну и ту же систему, хотя это и не обязательно: если удается проникнуть в сеть через одну точку проникновения (например, компьютер сотрудника, который запустил вредоносное вложение из электронной почты), то бот может автоматически начать инфицировать остальные конечные устройства, подключенные к этой же сети, полностью компрометируя корпоративную информационную безопасность компании.

3. Кража информации. Если кибер-преступнику удалось проникнуть в ИТ-систему компании, то он может получить доступ к конфиденциальным материалам и документам. Но, что еще хуже, он также может украсть эту информацию и распространить ее среди третьих лиц, что в итоге поставит под угрозу весь бизнес компании.

4. Кража ресурсов. За последние несколько лет, как прямой результат бума криптовалют, появляется все больше и больше кибер-преступников, которые используют ботнеты для того, чтобы заполучить доступ к компьютерам компаний и использовать часть их ресурсов для криптомайнинга (генерации криптовалют) .

Как избежать атак ботнетов
Для того чтобы защитить себя от такого рода кибер-атак, компании должны предпринимать ряд мер для защиты своей корпоративной информационной безопасности.

1. Политики безопасной работы в Интернете. Сотрудники компаний и организаций зачастую являются самой простой для кибер-преступников точкой проникновения в корпоративную сеть. По этой причине сотрудники должны неукоснительно следовать строгой политике работы в Интернете на своих устройствах, чтобы не посещать подозрительные веб-сайты, определенные пиринговые сети или любые другие платформы, которые потенциально могут заразить устройство с помощью безфайловых вредоносных программ .

2. Мониторинг процессов. Бывают случаи, когда в силу специфики своей работы атаки ботнетов не вызывают подозрений для определенных традиционных систем безопасности. Это означает, что крайне важно осуществлять мониторинг таким образом, чтобы он носил скорее профилактический характер и не допускал последующее дорогостоящего лечения. Решение Panda Adaptive Defense осуществляет мониторинг всех процессов, которые запускаются в ИТ-системе компании, поэтому любое аномальное поведение ИТ-ресурсов будет незамедлительно зарегистрировано и пресечено. Наличие видимости всего, что происходит на устройствах организации, способствует снижению потенциальных векторов атаки до абсолютного минимума.

3. Осторожность с электронными письмами. Электронные письма сотрудников могут быть отличной точкой проникновения , когда атакующий хочет использовать одного человека для заражения всех его коллег. Именно по этой причине каждый сотрудник должен быть предельно внимателен ко всему подозрительному (даже электронное письмо предположительно от своего руководителя может оказаться опасным ) и не загружать какое-либо вложение, если имеются хоть какие-то сомнения в доверии к нему.

Если имеется какой-то общий признак, типичный для атак ботнетов, то это их скрытность и незаметность… до тех пор, пока весь этот «ад» не вырвется наружу. Вот почему профилактика и контратака также должны быть проактивны, контролируя каждый процесс в ИТ-системе компании для защиты ее корпоративной информационной безопасности.


Оригинал статьи: Botnets: weapons in the telecommunications war
Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
B2B ботнет ботсеть
Alt text

Panda Security в России и СНГ

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.