Istoria rețelelor de tip botnet și securitatea internațională

Istoria rețelelor de tip botnet și securitatea internațională

690

Autor: Claudiu Gherghinoiu, System Administrator, Class IT

Rețelele botnet sunt cele mai periculoase instrumente pe care criminalii cibernetici le folosesc astăzi. Cercetările din domeniul informaticii, în momentul de față, încep să arate niște semne de progres, dar multe aspecte despre rețelele botnet sunt încă necunoscute.

Ce  sunt rețelele de tip botnet? Din ce este alcătuită rețeaua:

  • Computer bots care au fost infectate
  • Servere C&C de unde bots-urile sunt controlate
  • Botmaster: persoana reala care folosește serverele C&C

Începutul

Una din primele rețele de tip botnet a fost GM, care a apărut în anul 1989, bazată pe o conexiune IRC. Bootnet-urile IRC au cunoscut o perioadă înfloritoare între 1990 și 2000, mai ales datorită popularității serviciului mIRC. La început, principalul scop era pentru DDos, dar pe  parcurs mai multe funcționalități au fost adăugate cum ar fi ascunderea, phisingul site-urilor. Ceilalți, GT Bot, Sub7 erau de asemenea populari la vremea aceea.

 classit1

 Un model timpuriu de comunicație C&C

De asemenea, în acea perioadă, programele de distrugere mai sofisticate au fost dezvoltate, Agabot este un exemplu, cu capacități ce erau foarte noi la vremea aceea: polimorfic, key logging și alte funcționalități. A fost codat în C++ cu mai mult de 20.000 linii de cod. Agabot era foarte diferit, comparativ cu alte sisteme codate în limbaj de asamblare. Un alt botnet avansat pentru acea perioadă a fost Spybot codat în C, cu mai puține linii de cod, aproximativ 3.000. Scopul său principal era periclitarea datelor și furarea de loguri.

Crima organizată

Odată cu decăderea  IRC (Internet Relay Chat), criminalii cibernetici au fost forțați să găsească noi metode de comunicare. De asemenea, IRC era foarte nesigur, un nou sistem era necesar. Așa că au implementat un sistem descentralizat numit P2P, unde serverul centralizat a dispărut. În concluzie, era mult mai greu pentru autorități să închidă botneturile.

Dezvoltatorii de sisteme erau din nou cu un pas înainte, implementând noile tehnologii în creațiile lor. Un punct de cotitură în istoria rețelelor de tip botnet a  fost crearea lui Torpig undeva în jurul anului  2005. Când a fost analizată de cercetători, cantitatea de informații furată a fost imensă. Principala funcționalitate a Torpig era să fure date de identificare, mai ales date legate de carduri; o alta invenție a creatorilor a fost să introducă atacul man-in-the-browser, ceva nou pentru un botnet.

De asemenea, crima organizată dorea și mai multe câștiguri, așa că în 2007 unul din cele mai mari botneturi spam, Rustock, a fost lansat. Acest sistem era atât de mare, încât era capabil să trimită aproximativ 50 miliarde mesaje spam pe zi.

classit2

Un model de comunicație hybrid P2P între botmaster și bots

Aproximativ în același timp un alt spam botnet și mai complex infecta milioane de PC-uri, sistemul se numea Cutweil. Acest botnet reprezenta un punct de cotitură, o revoluție în istoria sistemelor complexe. La performanță maximă, era capabil să trimită aproximativ 80 miliarde mesaje spam pe zi.

Criminalii aveau acum un avantaj, deoarece sistemele dezvoltate de ei erau cu mult înaintea prevederilor legale. De asemenea, multe tipuri de rețele botnet apăruseră, chiar și mai sofisticate, și update-uri continue ale vechilor versiuni făceau din botnets ultimul instrument de infracțiune cibernetică la mijlocul anilor 2000. În acele zile criminalii din spatele acestor sisteme câștigau milioane de dolari.

Un business riscant

Anul 2008 este un an de cotitură în lupta împotriva criminalilor din spatele botnets cu multe evenimente remarcabile. Primul dintre ele este oprirea uneia dintre cele mai productive afaceri, create de un hacker sloven și folosită de o grupare spaniolă. Botnet-ul Mariposa în perioada de glorie infectase peste 12 milioane computere cu target pe carduri de credit și parole în computerele infectate. Mai mult de 1 milion fuseseră furate de criminali. Poliția internațională lucra pentru prima dată la aceast caz, fiind un semnal clar siguranța criminalilor cibernetici nu va mai dura.

În același an spammerii au fost loviți de preluarea companiei de hosting numită McColo, după ce serverele fuseseră oprite, spamurile au scăzut cu aproximativ 95%. Aproape toate botneturile importante Rustock, Cutweil, Grum și multe altele erau găzduite pe aceste servere. Dar această blocare era doar temporară, deoarece criminalii au revenit în afaceri curând.

De asemenea, este notabil că multe companii vedeau că agențiile de poliție erau depășite și au decis să se alieze în lupta împotriva botnets. Microsoft era de departe una din cele mai mari companii care și-a asumat ca activitate principală, lupta împotriva botnets. De-a lungul anilor, Microsoft a dat jos mai multe botnets importante, printre care: Zeus, Kelihos, Zero Access, Citadel.

Guvernele

Nu este de mirare că cea mai avansată armă din patrimoniul unui hacker este rețeau botnet. În consecință, statele care sponsorizează atacurile cibernetice au fost forțate să folosească aceasta armă. Primul super botnet apărut în media în anul 2011, se numea Stuxnet. Acest malware avea cel mai avansat cod scris, până atunci, de către o echipă de programatori. Principala țintă a acestui malware au fost instalațiile nucleare iraniene, folosind software-ul Siemens Step. Dauna a fost semnificativă și costul imens pentru guvernul iranian. Codul sursă a fost postat online, toți cercetătorii fiind de acord că acest malware este de departe cel mai avansat. Dezvoltatorii din spatele acestui malware erau necunoscuți, dar mulți cercetători au atras atenția că țara responsabilă pentru acest malware este fie Israel, fie SUA, fie amândouă. Este interesant că sunt multe versiuni și că acest malware a fost dezvoltat de-a lungul anilor, sugerând că a fost un process continuu.

Un alt malware avansat descoperit în 2011 este Duqu.  Acesta este similar cu  Stuxnet, dar are capacitatea de a infecta diferite sisteme SCADA, ceea ce face acest malware mai periculos decat predecesoarele lui. Dupa revelația Stuxnet și Duqu și lansarea codului sursă, industria de securitatea informației intră într-o altă etapă în care guvernele statelor produc malware-uri avansate.

Pericolul văzut de mulți cercetători în securitate cibernetică este că acest cod va ajuta într-un final un infractor cybernetic să dezvolte un botnet avansat.

În 2012, o companie de antivirus rusească a anunțat că a descoperit un botnet foarte avansat, care avea ca țintă organizații (ambasade, institute de cercetare, centre de cercetare a energiei, companii de benzina și gaze) din lumea întreagă, în special cele din Europa de Est și Federația Rusă.  Botnetul furase o cantitate impresionantă de informații pe o perioadă mai mare de 5 ani. Există dovezi că programatorii erau ruși și chinezi, deoarece lăsaseră informații importante în cod.

Hackerii cibernetici care au descoperit idea de botnet se confruntă cu o competiție foarte mare din partea statelor care au sponsorizat acest tip de malware. Dar după declarațiile lui Snowden, s-au descoperit botnets și mai sofisticați. Conform mai multor studii de securitate, NSA a dezvoltat un botnet, care prelua botneturile tradiționale ale hackerilor profesioniști.

Cele mai recente rețele de tip botnets descoperite

Industria malware este în continuare o afacere mare pentru hackerii profesioniști care vor să facă bani. O dată cu răspândirea telefoanelor mobile și a tabletelor sunt și mai multe ținte, iar competiția este o provocare pentru mulți infractori cibernetici care sunt dispuși să infecteze cât mai multe dispozitive posibile.

Un nou tip de botnet crește în popularitate, botnetul Android. Unul din cele mai mari în acest moment este MisoSMS, originar din China. Nu este sofisticat comparativ cu un Windows botnet dar poate provoca mult rău. De exemplu, acest botnet poate fura toate emailurile și SMS-urile  după care să le transmită către un server din China.

În aceeași categorie a botneturilor mobile este Oldboot, dezvoltat de hackeri chinezi, care a infectat mai mult de un million de dispozitive în China. După cum se vede, majoritatea dezvoltărilor de botnets are loc în Asia și Europa de Est, în special datorită protecției de care beneficiază infractorii cibernetici în aceste țări.

Un alt tip de botnet a fost dezvoltat recent și este șocant că a atacat unul dintre cele mai sigure sisteme de operare din lume, folosit de cei mai mulți specialiști IT. Denumit de media Linux/Ebury, a infectat mai mult de 25.000 de servere Linux din lume, făcând rău unor organizații precum Fundația Linux.