Botnet-verkot

Botnet on verkko, joka muodostuu haittaohjelmien avulla luvatta haltuun otetuista tietokoneista, joita kutsutaan zombie-koneiksi. Näitä koneita ohjataan keskitetysti komentopalvelimen (C&C, Command and Control) kautta. Bottiverkkoja hyödynnetään mm. roskapostin lähettämiseen, haittaohjelmien levittämiseen, tietojenkalasteluun (phishing) sekä palvelunestohyökkäysten (DDoS) toteuttamiseen.

Internetissä toimii jo tuhansia bottiverkkoja, joihin on liitetty kymmeniä miljoonia zombie-koneita eri puolilta maailmaa. Näiden verkkojen koko vaihtelee sadoista koneista jopa kymmeniin miljooniin. Tehokkaisiin hyökkäyksiin riittää usein jo yli 20 000 laitteen verkko. Hyökkäyksen laajuus riippuu aina kohteesta ja tavoitteista.

Suurin osa 2010-luvun bottiverkkojen koneista käytti vanhoja käyttöjärjestelmiä, kuten Windows XP (SP2), Windows Vista ja Windows 7, joissa tunnetut haavoittuvuudet mahdollistivat koneiden haltuunoton helposti. Vaikka tietoturva on kehittynyt, bottiverkot ovat edelleen vakava kyberuhka myös uusille järjestelmille, erityisesti IoT-laitteiden yleistymisen myötä.

Tehtävälista

Toteuta vahva tietoturvaperusta

Päivitä käyttöjärjestelmät ja ohjelmistot automaattisesti (Windows, Linux, macOS, selaimet, jne.).
Asenna ja ylläpidä ajantasainen virustorjuntaohjelma kaikissa päätelaitteissa.
Käytä palomuureja sekä verkko- että laitetasolla (sekä fyysiset että ohjelmistopohjaiset).

Valvo ja tunnista epäilyttävä toiminta

Käytä verkkoliikenteen valvontaa (IDS/IPS-järjestelmät) botnet-kommunikoinnin tunnistamiseksi.
Hyödynnä SIEM-järjestelmää (Security Information and Event Management) hälytyksiin ja lokianalyysiin.
Tarkkaile DNS-liikennettä ja estä yhteydet tunnetuille C&C-palvelimille.

Kouluta henkilöstö

Kouluta säännöllisesti henkilöstöä tunnistamaan haitalliset sähköpostit, liitteet ja linkit.
Järjestä tietoturvasimulaatioita, kuten phishing-harjoituksia.
Laadi tietoturvapolitiikka, joka sisältää ohjeet haittaohjelmien tunnistamiseen ja raportointiin.

Rajoita pääsyoikeuksia ja vahvista tunnistautumista

Ota käyttöön monivaiheinen tunnistautuminen (MFA).
Käytä vähiten oikeuksien periaatetta (PoLP) käyttäjien ja sovellusten oikeuksien hallinnassa.
Poista tarpeettomat käyttäjätilit ja järjestelmäpalvelut.

Testaa ja havainnoi

Suorita säännöllisesti haavoittuvuusskannauksia (esim. Nessus, OpenVAS).
Tee penetraatiotestejä ulkopuolisten asiantuntijoiden avulla.
Skannaa kaikki liitetyt laitteet (IoT, mobiililaitteet, etätyöasemat) mahdollisten bottien varalta.

Reagoi ja toimi tehokkaasti

Luo ja testaa tietoturvapoikkeamien hallintasuunnitelma (incident response plan).
Eriste tartunnan saanut kone verkosta heti.
Poista bot-ohjelma turvallisella työkalulla tai palauta kone varmuuskopiosta.
Ilmoita tietomurrosta tarvittaessa viranomaisille ja asiakkaille.

Dokumentoi ja kehitä

Pidä kirjaa havaitusta botnet-toiminnasta ja tehdyistä toimista.
Kehitä jatkuvasti suojausstrategiaa ja päivitä riskianalyysi.
Pidä IT-turvatiimi ajan tasalla uusista uhkista ja hyökkäystavoista.

Teknologiset ratkaisut käyttöön

Käytä EDR/XDR-ratkaisuja (Endpoint/Extended Detection & Response).
Hanki verkkotason DDoS-suojaus.
Hyödynnä DNS-suojapalveluita, jotka estävät pääsyn haitallisille sivustoille (esim. Quad9, Cisco Umbrella).

Bot-ohjelmat
Bot (lyhenne sanasta "robot") tarkoittaa tietojärjestelmissä automatisoitua ohjelmaa, joka suorittaa tehtäviä ilman käyttäjän aktiivista osallistumista. Bot-ohjelmat ovat haittaohjelmia, jotka asentuvat tietokoneeseen salaa ja ottavat sen osaksi bottiverkkoa. Laite muuttuu tällöin ns. zombie-koneeksi. Nämä ohjelmat ovat etäohjattavia ja suorittavat ulkopuolisen komentopalvelimen antamia tehtäviä.

Bot-ohjelmat ovat usein erittäin sitkeitä: ne osaavat asentaa itsensä uudelleen, kiertää virustorjuntaa ja päivittää itseään. Niitä käytetään moniin haitallisiin tarkoituksiin, kuten:

Klikaushuijauksiin (click fraud)
Roskapostin lähettämiseen
Haittaohjelmien levittämiseen
Palvelunestohyökkäyksiin (DDoS)
Tietojen kalasteluun ja vakoiluun

Bot-ohjelmia on hankala poistaa ja ne pystyvät usein asentamaan itsenä takaisin. Bot-ohjelmia voidaan käyttää esimerkiksi klikkausvilppeihin eli verkkomainonnan häirintään, jossa yritysten mainokselleen ostamat klikkaukset kulutetaan nopeasti loppuun.

Botnetin vuokraus on liiketoimintaa. Suurista botneteistä asiakkaalla on mahdollisuus vuokrata sopiva ”siivu”. Botnet-verkkojen asiakkailla ei ole ystävällisiä päämääriä kohteena olevan yrityksen tietojärjestelmää kohtaan.

Vuonna 2009 Mariposa oli eräs maailman suurimmista bottiverkoista. Vuonna 2008 maailman vaarallisimpana bottiverkkona pidettiin Krakenia. Se läpäisi yli 80 % tietokoneista, joihin oli asennettu virustorjuntaohjelma ja siihen oli liitetty yli 600.000 zombie-konetta. Kraken BotArmy lähetti jopa 500.000 roskapostia joka päivä. Krakenin hallintaohjelmisto on myös ominaisuuksiltaan ylivertainen.

Muita suuria bottiverkkoja ovat Storm, jossa 230.000 zombieta, Rbot (IRC-botnet), jossa 40.000 zombieta ja Bobax, jossa 24.000 zombieta.

Bottiverkkoa on käytetty myös esimerkiksi pump and dump -huijauksiin, joissa osakkeiden arvoa on vedätetty ylöspäin. Vedätyksen on mahdollistanut rikollisten tunkeutuminen osakekaupoista kiinnostuneiden henkilöiden tietoja sisältäville www-sivustoille.

Vuonna 2013 ZeroAccess oli yksi suurimmista botnet-verkoista. Se koostui noin kahdesta miljoonasta tietokoneesta. ZeroAccessin muodostaman botnet-verkon ohjaukseen käytettiin p2p-vertaisverkkotekniikkaa. Tässä tekniikassa verkon koneet välittivät käskyjä toisilleen.

Rikollisten ansaintalogiikka ZeroAccess-verkossa perustui digitaalisen Bitcoin-valuutan luomiseen ja ns. klikkauspetoksiin, jossa rahavirta muodostuu mainosklikkausten tuloista.

Jättimäinen bottiverkko rakentui nopeasti WordPress-sivustoista
Tietoturvayhtiö Sucuri kertoi blogissaan WordPress -sisällönhallintaohjelmaan liittyneestä haavoittuvuudesta, joka mahdollisti DDoS hyökkäyksen yli 162 000 eri WordPress-sivustolta.

Haavoittuvia olivat kaikki WordPressin oletusasetuksilla toteutetut sivustot, joissa Pingback oli käytössä. Haavoittuvuus paljastui WordPress-sivuston ylläpitäjän otettua yhteyden tietoturvayhtiö Sucuriin.

Haavoittuvuuden hyväksikäyttö onnistui yhdellä komennolla, joka kohdistui WordPress-sivuston XML-PRC -tiedostoon. Palvelimelle lähetetty kysely sisälsi satunnaisen arvon (esimerkiksi "? 4137049 = 643182"), joka ohitti välimuistin ja pakotti latautumaan joka kyselyllä koko sivun.

Hyökkäyksen aikana palvelimelle tuli satoja pyyntöjä sekunnissa. Näin toteutettu kysely kaatoi nopeasti palvelimen. Lähde: (blog.sucuri.net 10.3.2014)

Hollannin poliisi sulki Bredolab botnet-verkon
Hollannin poliisiin THTC-yksikkö (Team High Tech Crime) sulki Bredolab botnet-verkon 134 komentopalvelinta. Komentopalvelimien avulla oli hallittu noin 30 miljoonan zombie-tietokoneen verkkoa.

Botnet- verkko sai nimensä Bredolab-nimisestä haittaohjelmasta, jonka avulla tunkeutujat pääsivät saastuneisiin tietokoneisiin käsiksi. Verkkoa oli käytetty mm. haittaohjelmien ja roskapostin levittämiseen.

Hollannin poliisin THTC-yksikkö varoitti haittaohjelman saastuttamien tietokoneiden käyttäjiä Bredolab-verkon kautta lähettämällään tiedotteella. Käyttäjä näki tiedotuksen näytöllä käynnistettyään tietokoneen uudelleen. Lähde: (thetechherald.com 26.10.2010)

Zeus-bottiverkko oli erikoistunut mm. luottokorttitietojen anastamiseen
Zeus-bottiverkon saastuttamilta tietokoneilta saadut luottokortti- ja pankkitiedot lähetettiin suoraan rikollisille, jonka jälkeen rikollisten palkkaamat "muulit" suorittivat varsinaiset rahansiirrot.

Zeus-bottiverkko oli laaja. Yksinomaan Yhdysvalloissa siihen kuului noin 3,6 miljoonaa zombie-konetta. Verkon uskotaan olevan Rock Phish-nimellä kutsutun venäläisen ryhmän hallinnoima.

Ainakin osa verkon hallintapalvelimista oli sijoitettu Latviaan Riiassa sijaitsevaan Junik-operaattorin tiloihin. Palvelimet oli vuokrannut operaattorilta Real Host -yritys. TeliaSonera katkaisi maanantaina 3.8.2009 Real Hostin vuokraamien palvelimien verkkoyhteydet. Lähde: (Financial Times 4.8.2009)