Ботнети: оръжия в телекомуникационната война
2016 г. Република Либерия, малка страна с едва 111 000 квадратни километра в източната част на Африка, има сериозен проблем: комуникационната им мрежа току-що се срина. По-голямата част от нейните 4,3 милиона жители са останали без интернет, а доставчикът, който контролира големи части от мрежата на страната, Lonestar, няма представа какво се е случило; всичко, което знае е, че мрежата му е прекъсната.
С течение на времето някои обяснения започват да се материализират: виновникът за инцидента е Даниел Кей, британски киберпрестъпник, който е бил нает от директор на Cellman (главният конкурент на Lonestar в Либерия), за да атакува IT сигурността на Lonestar, докато не го “свали”. Като след това предизвика пробив в мрежата в почти цялата страна. Kaye , вече е в затвора като той е бил отговорен за няколко такива инцидента в различни страни.
Kaye причинява това прекъсване сам: неговата цялостна стратегия включва множество ботнети, които непрекъснато и едновременно са атакували телефонния оператор, докато не спрат работоспособността му.
Ето как работят атаките от типа ботнет.
Атаките, които използват ботнет–мрежите, стават все по-чести. Това видяхме през изминалата 2018 г. Стратегията на главният киберпрестъпник (бот–хердер или управляващият ботовете) е да натрупа колкото се може повече ботове – тоест, заразени устройства. След това тези ботове се използват за извършване на едновременни координирани атаки с конкретна цел: преодоляване на киберсигурността на една или няколко системи.
Ботовете могат да бъдат “прихванати” чрез различни техники за атака: нелегален софтуер; злонамерен софтуер, който инфектира устройствата; поради лошото използване на мрежи; злонамерени файлове, които влизат чрез прикачени файлове по електронната поща и т.н. Ботовете, координирано използвани, са в състояние да направят огромни щети.
Последиците от този вид атака:
Когато една компания претърпи ботнет-атака, възможните последствия, които тя може да изпита, са:
1.Прекъсване на мрежата. Ботовете могат да бъдат програмирани за масово пускане на безкраен брой заявки към уебсайт, което го прави катастрофа чрез разпределена атака за отказ на услуга (DDoS). Това се случи с мрежата на Либерия. Друг пример е кибератака от 2018 г. над уебсайта на Университета в Единбург.
2.Мрежови инфекции. Ботнет атаката може да не е просто насочена към уебсайт на компанията; тя може да атакува директно корпоративните IT системи. По този начин атаката може да има няколко точки за влизане в една и съща система. Ако успее да се включи само в една машина(компютърът на служител, който е изтеглил злонамерен прикачен файл от имейл, Например), ботът може да започне автоматично да заразява останалите крайни точки, свързани в една и съща мрежа, като напълно компрометира корпоративната киберсигурност на компанията.
3. Кражба на информация. Ако киберпрестъпникът успее да проникне в информационната система на компанията, може да получи достъп до поверителни материали и документи. Но по-лошото е, че те може също така да открадне тази информация и да я разпространи на трети страни, като по този начин застраши бизнеса на компанията.
4. Кражба на ресурси. През последните няколко години, като пряк резултат от криптовалумния бум, има все повече и повече киберпрестъпници, които се обръщат към ботнети, за да принудят компютрите на компанията да отделят част от ресурсите си за криптиране.
Как да избегнем “ботнет” атаки
За да се предпазят от този вид кибератаки, компаниите трябва да предприемат мерки за запазване на корпоративната си киберсигурност.
1.Политики за сигурно сърфиране. Служителите на дадена институция често са най-лесният входен пункт за киберпрестъпник. Поради тази причина работниците трябва да следват стриктна политика за сърфиране на своите устройства, като се уверите, че не посещават подозрителни уебсайтове, някои P2P мрежи или друга платформа, която потенциално може да зарази устройството с malware.
2. Процеси на мониторинг. Има моменти, когато поради начина на работа ботнет атаките не предизвикват съмнения за някои традиционни програми за сигурност. Това означава, че е от жизненоважно значение да се наблюдават всички стартирани процеси на крайните точки в организацията. Panda Adaptive Defense следи всички процеси, които се изпълняват в информационната система на компанията, така че всяко аномално поведение на ресурсите да бъде предотварено незабавно. Наличието на видимост на всичко, което се случва на устройствата на организацията, допринася за намаляване на възможните вектори на атака до минимум.
3.Повишено внимание при ползване на електронна поща. Имейлите на служителите могат да бъдат чудесна входна точка, когато нападателят иска един човек да зарази всички свои колеги. Ето защо всеки служител трябва да бъде нащрек за нещо подозрително (дори имейл от шефа може да е опасен) и да не сваля прикачен файл, ако са дори малко съмнителни за надеждността му.
Ако има нещо, което типизира ботнет атаките, това е тяхната хитрост и това, че се стремят да останата незабелязани. Ето защо превенцията и защитата също трябва да бъдат проактивни, да следят всеки процес в информационната система на компанията, за да защитят корпоративната киберсигурност.
Източник: Panda Media Center
За Panda Security
Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).
Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.
За допълнителна информация:
Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08