Wzrost liczby spamu i wywołane nim szkody w zeszłym roku przekroczyły wartość 500 mln dolarów

Alarm w liczącym 25 tys. serwerów centrum obliczeniowym w Karlsruhe, jednym z czterech, jakimi dysponuje 1&1 – największa firma hostingowa na świecie, od sierpnia obecna również w Polsce. Powód? W jedną z zastawionych pułapek złapał się zainfekowany komputer. Thorsten Kraft i jego koledzy z oddziału przeciwko nadużyciom firmy 1&1 szybko ustalają, że jego właściciel jest klientem firmy. Błyskawicznie informują go o zagrożeniu i uruchamiają procedury mające na celu rozwiązanie problemu. 

Tak wygląda codzienna walka z jednym z największych cyfrowych zagrożeń ostatnich lat: sieciami botów, czyli botnetami, złożonymi z zainfekowanych komputerów i zdalnie sterowanych przez hakerów. Najbardziej niebezpieczne jest to, że po zarażeniu pecet zwykłego użytkownika często przez wiele miesięcy działa bez żadnych oznak infekcji. W tym czasie samoczynnie zaraża inne maszyny, budując z nich coraz większą strukturę. Finalnie staje się ona botnetem, której haker może wydawać polecenia. Przestępcy często wykorzystują w tym celu kanały IRC (Internet Relay Chat). Zakres komend jest nieograniczony – od wysłania kilku milionów emaili ze spamem albo pytaniami służącymi do phishingu po zablokowanie rządowych serwerów za pomocą ataku typu Distributed Denial of Service. 

Do walki z hakerskimi sieciami staje międzynarodowy sojusz, w którym uczestniczą między innymi łowcy botnetów z firmy Panda Security. Na swoim koncie mają oni likwidację jednej z największych szkodliwych sieci znanej pod nazwą Mariposa. Budowę i działanie botnetów badają także analitycy firmy Kaspersky Lab, tacy jak Yury Namestnikov. Ich zadaniem jest też rozwijanie środków obrony. W Europie koordynacją wszystkich tych działań zajmuje się European Internet Services Providers Associations (ISPAs).

W celu wykrycia zainfekowanych komputerów łowcy botnetów często umieszczają w Sieci tzw. garnki z miodem. Są to komputery, na których symuluje się działanie nieaktualizowanego i niechronionego systemu operacyjnego. Dzięki temu wydają się łakomym kąskiem dla już zainfekowanych maszyn, które automatycznie rozprzestrzeniają cyfrową epidemię.

Oto jak przebiega atak botnetu

Garnek z miodem: Botnet w pułapce

W podobny sposób działają pracownicy centrum 1&1 w Karlsruhe. Gdy zainfekowany komputer-bot wpadnie w pułapkę, analitycy sprawdzają jego adres IP, godzinę zakażenia i inne szczegóły ataku. W ten sposób ustalają, czy komputer-zombie należy do jednego z klientów firmy. Jeśli tak, otrzymuje on emaila informującego o infekcji oraz instrukcję usuwania powodującego ją wirusa. W takich operacjach dane klientów są bezpieczne, ponieważ usługa ZeuS tracker, która bada przesyłane pakiety, aby wykryć centra zarządzania i kontroli bonetu, analizuje jedynie zasoby komputera przynęty. 

Ale w arsenale łowców bonetów nie brak innego oręża. Dostawcy Internetu często wykorzystują też pułapki zbierające i analizujące śmieciowe reklamy z całego świata. Jeżeli okazuje się, że niechciane emaile są wysyłane przez konkretny komputer, jego właściciel otrzymuje odpowiednią informację i – jak w poprzednim wypadku – dokładną instrukcję usunięcia kodu, który zmienił jego peceta, w posłuszną rozkazom hakera maszynę zombie. 

Aby dowiedzieć się więcej o botnetach, analitycy badają też ataki typu Distributed Denial of Service (DDoS). Polegają one na tym, że wszystkie komputery w sieci hakera jednocześnie bombardują konkretny serwer (np. należący do e-banku, aby zmusić bank do zapłacenia okupu) milionami bezsensownych zapytań, aż do jego wyłączenia z powodu przeciążenia. Przeprowadzone analizy pozwalają ustalić, ile komputerów wchodzi w skład botnetu i jakiego rodzaju wirus jest wykorzystywany do zarażania kolejnych maszyn w tej sieci. Z kolei technologia DNS Sinkhole umożliwiają łowcom określenie struktury hakerskiej sieci.