ЗаБОТ хватает. Что такое ботнет, какими они бывают и как используются в DDoS-атаках 

В феврале 2024-го в интернете появилась новость о крупной DDoS-атаке, участие в которой приняли 3 млн умных зубных щёток. Позже выяснилось, что инцидента на самом деле не было. Тем не менее фейковая история взбудоражила общественность — в Сети стали чаще говорить о ботнетах и связанных с ними угрозах. 

Как на самом деле выглядят ботнеты сегодня? Зачем они нужны, и каких видов они бывают? Об этом и не только рассказываем в нашей статье. 

Что такое ботнет, какими они бывают и как используются в DDoS-атаках

Первые ботнеты, которые появились в 2000-е, были примитивными. Со временем они активно развивались и увеличивались в масштабах. Этому способствовала популярность технологии умного дома и IoT. Для сравнения: ещё год назад — в III квартале 2023-го — в одном ботнете насчитывалось в среднем 6 тыс. устройств. Спустя год, по данным наших аналитиков, количество возросло до 30 тысяч. 

Что такое ботнет

Для начала напомним, что «ботнет» — это сокращение от английских слов “robot” и “net” («робот» и «сеть»). Термином принято называть сеть заражённых устройств, которые могут использоваться злоумышленниками, в том числе для мошенничества и удалённых кибератак. 

Ботнет может состоять как из персональных компьютеров, так и из роботов-пылесосов, видеокамер и прочей умной IoT-техники. Главное — чтобы устройство обладало хотя бы минимальной операционной системой и могло подключаться к интернету. В этом случае злоумышленнику удастся заразить гаджет вредоносным ПО и получить удалённый доступ к нему. 

Сеть заражённых устройств контролируется ботмастером. Как правило, он контролирует захваченные гаджеты (боты, зомби-устройства) напрямую, через единый сервер или прокси. Также задачи на устройства отправляются при помощи децентрализованной пиринговой модели (P2P). В этом случае девайсы передают команды друг другу, что усложняет обнаружение ботмастера.

Виды ботнетов

В большинстве случаев злоумышленники стремятся получить финансовую выгоду или нанести кому-либо вред. Ботнеты — лишь инструмент, который им в этом помогает. Благодаря ему преступники могут относительно быстро и дёшево масштабировать вычислительные мощности для проведения атак.

В зависимости от мотивации злоумышленника можно выделить минимум четыре основных типа ботнетов. Рассмотрим их подробнее. 

Ботнеты для майнинга

Генерировать криптовалюту можно не только на своих мощностях, но и на чужих, причём удалённо и в незаметном режиме. С развитием биткоина и аналогов злоумышленники стали чаще заражать компьютеры интернет-пользователей, чтобы использовать их для майнинга. 

Ботнеты такого типа легче всего выявить по возросшей нагрузке на видеокарту и операционную систему. Если она увеличилась без объективных причин, скорее всего ваше устройство стало частью чьей-то майнинговой фермы.

Ботнеты для кражи данных

Один из примеров — ботнет ZeuS. Благодаря его активному распространению в конце 2000-х злоумышленники получали банковские данные жертв по всему миру. По некоторым данным, суммарный ущерб от этого ботнета составил 70 млн долларов. 

Также заражённые устройства могут захватывать и передавать ботмастеру данные доступа к аккаунтам в соцсетях, email, мессенджерах и прочих популярных приложений. Как правило, украденные профили жертв затем используются в мошеннических схемах.

Ещё один популярный сценарий — использование ботнетов конкурентами. Например, в ритейле сети заражённых устройств могут проводить скальпирование товаров, размещённых на ресурсах жертвы. От этих и других угроз можно защититься с помощью специализированных решений — антиботов

Ботнеты для спама  

Один из самых очевидных кейсов — рассылки вредоносного кода и мошеннических писем по email. Заражённые устройства имеют разные IP-адреса. Чем их больше в сети злоумышленника, тем меньше вероятность, что почтовый сервис не распознает и не отфильтрует спам-атаку. 

Чаще всего сообщения с заражённых устройств рассылаются в рамках фишинга. Жертвы верят мошенникам, перечисляют им деньги или раскрывают чувствительную информацию. 

Ботнеты для DDoS-атак

Если преступнику необходимо сгенерировать огромное количество запросов к онлайн-ресурсу жертвы, чтобы вывести его из строя, то ботнет — идеальное решение. Атака с заражённых устройств будет распределённой, а её мощность — потенциально высокой. 

В большинстве случаев DDoS-атаки с участием ботнетов проходят по одному сценарию: 

  1. Устройства заражаются вредоносным ПО, после чего злоумышленник получает к ним удалённый доступ.
  2. Он выбирает цель атаки и отдаёт команду своим управляющим серверам.
  3. Управляющие серверы передают команду подконтрольным устройствам.
  4. Устройства начинают генерировать вредоносные запросы к целевому ресурсу.

Примеры ботнетов 

Историй с громкими DDoS-атаками много, но далеко не всегда звучит имя ботнета, который за ними стоит. К наиболее известным можно отнести: 

  • Mirai — многие устройства в его составе были из категории умных бытовых гаджетов. И большинство из них стали частью ботнета только потому, что на них использовались одинаковые заводские логины и пароли. По некоторым оценкам, суммарный ущерб от этого ботнета в 2000-е составил более 100 млн долларов США;
  • Gafgyt — практически полный аналог Mirai. Здесь точно так же заражали в основном умную IoT-технику, а главным способом применения ботнета стали DDoS-атаки;
  • Mantis — один из самых мощных ботнетов для DDoS-атак по версии Cloudflare. В 2022 году он мог генерировать свыше 25 млн запросов в секунду. Отчасти такая производительность объясняется тем, что ботнет меньше сфокусирован на IoT-устройствах и чаще использует ресурсы серверов и виртуальных машин; 
  • Mēris — ботнет, с помощью которого в 2021 году была совершена DDoS-атака на Яндекс. Инцидент вошёл в историю как один из самых масштабных. Мощность атаки составила почти 22 млн запросов в секунду. 

Масштабы проблемы растут, причём огромными темпами. Так, например, в октябре 2024 года мы обнаружили несколько DDoS-атак на российских хостинг-провайдеров, которые велись с 100 тыс. гаджетов по всему миру. Инциденты поражали своей мощностью — она достигала 1,5 Тбит/с. 

За каждым известным ботнетом стоят тысячи компаний-жертв. Для кого-то из них DDoS-атаки прошли с минимальными последствиями, для других они закончились миллионными убытками и репутационными потерями. Чтобы ваша компания не пополнила длинные списки жертв ботнетов, рекомендуем использовать специализированные средства защиты. Решения StormWall — в их числе.

Защита веб-сайтов от DDoS-атак

  • Подключение за 10 минут
  • Поддержка 24×7