В феврале 2024-го в интернете появилась новость о крупной DDoS-атаке, участие в которой приняли 3 млн умных зубных щёток. Позже выяснилось, что инцидента на самом деле не было. Тем не менее фейковая история взбудоражила общественность — в Сети стали чаще говорить о ботнетах и связанных с ними угрозах.
Как на самом деле выглядят ботнеты сегодня? Зачем они нужны, и каких видов они бывают? Об этом и не только рассказываем в нашей статье.
Первые ботнеты, которые появились в 2000-е, были примитивными. Со временем они активно развивались и увеличивались в масштабах. Этому способствовала популярность технологии умного дома и IoT. Для сравнения: ещё год назад — в III квартале 2023-го — в одном ботнете насчитывалось в среднем 6 тыс. устройств. Спустя год, по данным наших аналитиков, количество возросло до 30 тысяч.
Что такое ботнет
Для начала напомним, что «ботнет» — это сокращение от английских слов “robot” и “net” («робот» и «сеть»). Термином принято называть сеть заражённых устройств, которые могут использоваться злоумышленниками, в том числе для мошенничества и удалённых кибератак.
Ботнет может состоять как из персональных компьютеров, так и из роботов-пылесосов, видеокамер и прочей умной IoT-техники. Главное — чтобы устройство обладало хотя бы минимальной операционной системой и могло подключаться к интернету. В этом случае злоумышленнику удастся заразить гаджет вредоносным ПО и получить удалённый доступ к нему.
Сеть заражённых устройств контролируется ботмастером. Как правило, он контролирует захваченные гаджеты (боты, зомби-устройства) напрямую, через единый сервер или прокси. Также задачи на устройства отправляются при помощи децентрализованной пиринговой модели (P2P). В этом случае девайсы передают команды друг другу, что усложняет обнаружение ботмастера.
Виды ботнетов
В большинстве случаев злоумышленники стремятся получить финансовую выгоду или нанести кому-либо вред. Ботнеты — лишь инструмент, который им в этом помогает. Благодаря ему преступники могут относительно быстро и дёшево масштабировать вычислительные мощности для проведения атак.
В зависимости от мотивации злоумышленника можно выделить минимум четыре основных типа ботнетов. Рассмотрим их подробнее.
Ботнеты для майнинга
Генерировать криптовалюту можно не только на своих мощностях, но и на чужих, причём удалённо и в незаметном режиме. С развитием биткоина и аналогов злоумышленники стали чаще заражать компьютеры интернет-пользователей, чтобы использовать их для майнинга.
Ботнеты такого типа легче всего выявить по возросшей нагрузке на видеокарту и операционную систему. Если она увеличилась без объективных причин, скорее всего ваше устройство стало частью чьей-то майнинговой фермы.
Ботнеты для кражи данных
Один из примеров — ботнет ZeuS. Благодаря его активному распространению в конце 2000-х злоумышленники получали банковские данные жертв по всему миру. По некоторым данным, суммарный ущерб от этого ботнета составил 70 млн долларов.
Также заражённые устройства могут захватывать и передавать ботмастеру данные доступа к аккаунтам в соцсетях, email, мессенджерах и прочих популярных приложений. Как правило, украденные профили жертв затем используются в мошеннических схемах.
Ещё один популярный сценарий — использование ботнетов конкурентами. Например, в ритейле сети заражённых устройств могут проводить скальпирование товаров, размещённых на ресурсах жертвы. От этих и других угроз можно защититься с помощью специализированных решений — антиботов.
Ботнеты для спама
Один из самых очевидных кейсов — рассылки вредоносного кода и мошеннических писем по email. Заражённые устройства имеют разные IP-адреса. Чем их больше в сети злоумышленника, тем меньше вероятность, что почтовый сервис не распознает и не отфильтрует спам-атаку.
Чаще всего сообщения с заражённых устройств рассылаются в рамках фишинга. Жертвы верят мошенникам, перечисляют им деньги или раскрывают чувствительную информацию.
Ботнеты для DDoS-атак
Если преступнику необходимо сгенерировать огромное количество запросов к онлайн-ресурсу жертвы, чтобы вывести его из строя, то ботнет — идеальное решение. Атака с заражённых устройств будет распределённой, а её мощность — потенциально высокой.
В большинстве случаев DDoS-атаки с участием ботнетов проходят по одному сценарию:
- Устройства заражаются вредоносным ПО, после чего злоумышленник получает к ним удалённый доступ.
- Он выбирает цель атаки и отдаёт команду своим управляющим серверам.
- Управляющие серверы передают команду подконтрольным устройствам.
- Устройства начинают генерировать вредоносные запросы к целевому ресурсу.
Примеры ботнетов
Историй с громкими DDoS-атаками много, но далеко не всегда звучит имя ботнета, который за ними стоит. К наиболее известным можно отнести:
- Mirai — многие устройства в его составе были из категории умных бытовых гаджетов. И большинство из них стали частью ботнета только потому, что на них использовались одинаковые заводские логины и пароли. По некоторым оценкам, суммарный ущерб от этого ботнета в 2000-е составил более 100 млн долларов США;
- Gafgyt — практически полный аналог Mirai. Здесь точно так же заражали в основном умную IoT-технику, а главным способом применения ботнета стали DDoS-атаки;
- Mantis — один из самых мощных ботнетов для DDoS-атак по версии Cloudflare. В 2022 году он мог генерировать свыше 25 млн запросов в секунду. Отчасти такая производительность объясняется тем, что ботнет меньше сфокусирован на IoT-устройствах и чаще использует ресурсы серверов и виртуальных машин;
- Mēris — ботнет, с помощью которого в 2021 году была совершена DDoS-атака на Яндекс. Инцидент вошёл в историю как один из самых масштабных. Мощность атаки составила почти 22 млн запросов в секунду.
Масштабы проблемы растут, причём огромными темпами. Так, например, в октябре 2024 года мы обнаружили несколько DDoS-атак на российских хостинг-провайдеров, которые велись с 100 тыс. гаджетов по всему миру. Инциденты поражали своей мощностью — она достигала 1,5 Тбит/с.
За каждым известным ботнетом стоят тысячи компаний-жертв. Для кого-то из них DDoS-атаки прошли с минимальными последствиями, для других они закончились миллионными убытками и репутационными потерями. Чтобы ваша компания не пополнила длинные списки жертв ботнетов, рекомендуем использовать специализированные средства защиты. Решения StormWall — в их числе.
Защита веб-сайтов от DDoS-атак
- Подключение за 10 минут
- Поддержка 24×7