Botnet-verkot - SecMeter

Go to content

Botnet-verkot

Yritysturvallisuus > Kyberturvallisuus
Botnet on haittaohjelmien avulla luvatta käyttöönotettujen tietokoneiden (zombie-koneiden) muodostamia verkko, jota hallitaan komentopalvelimen avulla ja käytetään roskapostin lähettämiseen, haittaohjelmien levittämiseen, tietojen kalasteluun (phishing) tai palvelunestohyökkäysten toteuttamiseen.

Internetissä on jo tuhansia botnet-verkkoja, joihin on liitetty kymmeniä miljoonia tietokoneita (zombie-koneita) ympäri maailmaa. Koneiden määrä on ollut toistaiseksi jatkuvassa kasvussa. Suurin osa 2010-luvun bottiverkkoihin liitetyistä tietokoneista oli varustettu Windows XP (SP2-päivityksellä), Windows 7 ja Windows Vista käyttöjärjestelmillä.

Bottiverkkojen koko vaihtelee sadoista aina kymmeniin miljooniin zombie-koneisiin. Tehokkaita hyökkäyksiä saavutetaan hyökkääjän tarkoitusperistä ja kohteesta riippuen jo yli 20.000 zombie-koneen botnetillä.

Bot-ohjelmat
Bot-termi tarkoittaa verkkoapulaista (engl. robot). Bot-ohjelmat ovat etäohjattavia sovelluksia. Bot-ohjelmakoodi asentuu tietokoneeseen salaa käyttäjän havaitsematta ja muuttaa kohdekoneen "zombieksi". Koneeseen asentunut bot-ohjelma suorittaa myöhemmin ulkopuolisen koneelle lähettämiä tehtäviä.

Bot-ohjelmia on hankala poistaa ja ne pystyvät usein asentamaan itsenä takaisin. Bot-ohjelmia voidaan käyttää esimerkiksi klikkausvilppeihin eli verkkomainonnan häirintään, jossa yritysten mainokselleen ostamat klikkaukset kulutetaan nopeasti loppuun.

Botnetin vuokraus on liiketoimintaa. Suurista botneteistä asiakkaalla on mahdollisuus vuokrata sopiva ”siivu”. Botnet-verkkojen asiakkailla ei ole ystävällisiä päämääriä kohteena olevan yrityksen tietojärjestelmää kohtaan.

Vuonna 2009 Mariposa oli eräs maailman suurimmista bottiverkoista. Vuonna 2008 maailman vaarallisimpana bottiverkkona pidettiin Krakenia. Se läpäisi yli 80 % tietokoneista, joihin oli asennettu virustorjuntaohjelma ja siihen oli liitetty yli 600.000 zombie-konetta. Kraken BotArmy lähetti jopa 500.000 roskapostia joka päivä. Krakenin hallintaohjelmisto on myös ominaisuuksiltaan ylivertainen.

Muita suuria bottiverkkoja ovat Storm, jossa 230.000 zombieta, Rbot (IRC-botnet), jossa 40.000 zombieta ja Bobax, jossa 24.000 zombieta.

Bottiverkkoa on käytetty myös esimerkiksi pump and dump -huijauksiin, joissa osakkeiden arvoa on vedätetty ylöspäin. Vedätyksen on mahdollistanut rikollisten tunkeutuminen osakekaupoista kiinnostuneiden henkilöiden tietoja sisältäville www-sivustoille.

Vuonna 2013 ZeroAccess oli yksi suurimmista botnet-verkoista. Se koostui noin kahdesta miljoonasta tietokoneesta. ZeroAccessin muodostaman botnet-verkon ohjaukseen käytettiin p2p-vertaisverkkotekniikkaa. Tässä tekniikassa verkon koneet välittivät käskyjä toisilleen.

Rikollisten ansaintalogiikka ZeroAccess-verkossa perustui digitaalisen Bitcoin-valuutan luomiseen ja ns. klikkauspetoksiin, jossa rahavirta muodostuu mainosklikkausten tuloista.

Jättimäinen bottiverkko rakentui nopeasti WordPress-sivustoista
Tietoturvayhtiö Sucuri kertoi blogissaan WordPress -sisällönhallintaohjelmaan liittyneestä haavoittuvuudesta, joka mahdollisti DDoS hyökkäyksen yli 162 000 eri WordPress-sivustolta.

Haavoittuvia olivat kaikki WordPressin oletusasetuksilla toteutetut sivustot, joissa Pingback oli käytössä. Haavoittuvuus paljastui WordPress-sivuston ylläpitäjän otettua yhteyden tietoturvayhtiö Sucuriin.

Haavoittuvuuden hyväksikäyttö onnistui yhdellä komennolla, joka kohdistui WordPress-sivuston XML-PRC -tiedostoon. Palvelimelle lähetetty kysely sisälsi satunnaisen arvon (esimerkiksi "? 4137049 = 643182"), joka ohitti välimuistin ja pakotti latautumaan joka kyselyllä koko sivun.

Hyökkäyksen aikana palvelimelle tuli satoja pyyntöjä sekunnissa. Näin toteutettu kysely kaatoi nopeasti palvelimen. Lähde: (blog.sucuri.net 10.3.2014)

Hollannin poliisi sulki Bredolab botnet-verkon
Hollannin poliisiin THTC-yksikkö (Team High Tech Crime) sulki Bredolab botnet-verkon 134 komentopalvelinta. Komentopalvelimien avulla oli hallittu noin 30 miljoonan zombie-tietokoneen verkkoa.

Botnet- verkko sai nimensä Bredolab-nimisestä haittaohjelmasta, jonka avulla tunkeutujat pääsivät saastuneisiin tietokoneisiin käsiksi. Verkkoa oli käytetty mm. haittaohjelmien ja roskapostin levittämiseen.

Hollannin poliisin THTC-yksikkö varoitti haittaohjelman saastuttamien tietokoneiden käyttäjiä Bredolab-verkon kautta lähettämällään tiedotteella. Käyttäjä näki tiedotuksen näytöllä käynnistettyään tietokoneen uudelleen. Lähde: (thetechherald.com 26.10.2010)

Zeus-bottiverkko oli erikoistunut mm. luottokorttitietojen anastamiseen
Zeus-bottiverkon saastuttamilta tietokoneilta saadut luottokortti- ja pankkitiedot lähetettiin suoraan rikollisille, jonka jälkeen rikollisten palkkaamat "muulit" suorittivat varsinaiset rahansiirrot.

Zeus-bottiverkko oli laaja. Yksinomaan Yhdysvalloissa siihen kuului noin 3,6 miljoonaa zombie-konetta. Verkon uskotaan olevan Rock Phish-nimellä kutsutun venäläisen ryhmän hallinnoima.

Ainakin osa verkon hallintapalvelimista oli sijoitettu Latviaan Riiassa sijaitsevaan Junik-operaattorin tiloihin. Palvelimet oli vuokrannut operaattorilta Real Host -yritys. TeliaSonera katkaisi maanantaina 3.8.2009 Real Hostin vuokraamien palvelimien verkkoyhteydet. Lähde: (Financial Times 4.8.2009)

Sääntö nro 3
Siltä, jolla on vastuu, puuttuu oikeus jälkiviisauteen.
Sääntö nro 2
Riittävän isolla vasaralla voi rikkoa mitä tahansa.
Sääntö nro 1
Valvontaa ei voi korvata luottamuksella.
Sääntö nro 3
Asiakkaiden luottamus on voitettava joka päivä uudelleen.
Sääntö nro 2
Riittävän isolla vasaralla voi rikkoa mitä tahansa.
Back to content