Botnetové útoky naberajú na sile a v bezpečí nie je žiadne zariadenie pripojené do internetu. Exponenciálny rast IoT zariadení znamená, že – veď viete čo. To sú čísla a fakty.

Botnety silnejú

Hlavnou útočnou silou botnetu je využitie výkonu stoviek, dokonca aj tisícok rôznych zariadení. Útočník sa aj takto dokáže efektívne kryť, pretože extrémne množstvo zariadení sťažuje blokovanie a sledovanie útokov.

Ku koncu roka 2021 sa zvýšil počet botnetových útokov medzikvartálne takmer o štvrtinu a rast pokračoval globálne aj prvom kvartáli 2022. Za viacej ako dvanásťpercentným nárastom stoja najmä botnety Mirai a STRRAT. O slovo sa opäť prihlásil Emotet, ktorý v marci 2022 vykázal celosvetový nárast o vyše 200 percent.

Financie ako prvé, financie ako druhé

Najčastejším cieľom botnetových útokov je finančný sektor a jeho zákazníci. Útočníci získavajú vzdialenú kontrolu nad počítačmi obetí a zbierajú osobné údaje či prihlasovacie heslá a inštalujú a šíria ďalšie typy malvéru. Botnety nastupujú pri DDoS útokoch, v ťažbe kryptomien aj pri ransomvérovej ofenzíve.

Internet vecí

Ak sa budeme držať predpokladu, že do konca roku 2025 bude k internetu pripojených viac ako tridsať miliárd IoT zariadení (niektorí analytici hovoria aj počte 75 miliárd), vytvorí sa tak potenciálne obrovská plocha pre kybernetické útoky v podobe masívnych botnetov.

Výskumný tím NETSCOUT už pred tromi rokmi varoval, že IoT zariadenia sú napadnuté zvyčajne už do piatich minút po uvedení do prevádzky, čiže po pripojení k internetu. IoT zariadenia sú čoraz populárnejšie, čo sťažuje dodržiavanie bezpečnostných opatrení a starosti s bezpečnosťou stále pribúdajú. Hovoríme o množstve zariadení aj rôznych (neopatrených) používateľoch.

Podľa správ spoločnosti Symantec už teraz veľa IoT zariadení funguje najmenej päť rokov, čo znamená, že nemajú najnovšie aktualizácie zabezpečenia. V mnohých prípadoch stále používajú pôvodné alebo iba veľmi jednoduché heslo. Ako brána pre kybernetické útoky fungujú v 75 percentách prípadov práve routre. Sú to najobľúbenejšie ciele s priemerom 5 200 útokov za mesiac.

Míľnik menom Mirai

Incident Mirai z roku 2016 je príkladom, ako veľké množstvo zdanlivo neškodných zariadení vykonávajúcich DDoS útok môže narušiť kritické internetové služby. Útok dostal meno podľa populárneho animovaného televízneho seriálu a začal sa tak, že traja spolužiaci z amerických predmestí zapojili do zničujúceho botnetu tisícky IoT zariadení.

Kým bezpečnostné služby identifikovali útočníkov, vzniklo dokonca podozrenie na medzinárodný kybernetický útok, keďže v USA bol volebný rok. A to iba hráči Minecraftu skúšali, či by fungovalo, čo si vymysleli. Brutalita a exponenciálny rast zariadení, ktoré sa zapájali do botnetovej siete, však šokovali aj autorov.

Verejnoprospešné práce pre hackerov

Po panike nastala krutá realita. Trojica hackerov bola rok po útoku postavená pred súd. Podľa súdnych dokumentov americká vláda odporúčala, aby bol každý z nich odsúdený na päť rokov podmienečne a dvetisícpäťsto hodín verejnoprospešných prác.

Práce boli definované tak, aby počas päťročnej podmienky zahŕňali spoluprácu s FBI v oblasti počítačovej kriminality a kybernetickej bezpečnosti. Karta sa obrátila a trojica pomáhala chytať kybernetických zločincov.

Koniec linuxového hipsterstva

Malvér, ktorý cieli na zariadenia s linuxovým operačným systémom, vzrástol v roku 2021 medziročne o vyše tretinu (35 %). Spoločnosť Crowdstrike v správe poukazuje najmä na aktivity malvérovej rodiny, ktorá zahŕňa XorDdoS, Mirai a Mozi. Primárnym účelom tejto trojice je kompromitovať zraniteľné zariadenia pripojené k internetu a používať ich na vykonávanie DDoS útokov. Aktivity tejto silnej rodiny predstavovali viacej ako 22 percent hrozieb pre Linux.

Presun botnetových útokov z Windowsu aj na Linux a do segmentu IoT sa začal rokom 2018. Štatisticky je síce Windows stále viacej využívanou botnet platformou ako Linux, ale podstatné je, že u niektorých ľudí ešte stále pretrváva falošná predstava, že keď majú Linux, tak sú v bezpečí.

Toto si pamätajte: XorDdos

Ani výskumný bezpečnostný tím Microsoftu nepotešil majiteľov Linuxu. V aktuálnej správe varujú pred aktivitami trójskeho koňa XorDdos. Za posledných šesť mesiacov výskumníci vyčíslili jeho rast na 254 percent a tým finálne potvrdili nový trend – silnejú malvéry zamerané na linuxové zariadenia používané v cloudových infraštruktúrach a pre IoT zariadenia.

Malvér XorDdos nie je nováčikom. Existuje od roku 2014, výskumníci vystopovali jeho pôvod v Číne a odvtedy zasiahol ohromujúce množstvo zariadení. Vyznačuje sa rafinovanou taktikou, ktorá kryje jeho aktivity a dokáže sa vyhýbať detekcii antivírusovými riešeniami. Zariadenia zapojené do botnetu boli neskôr infikované ďalším malvérom, čím je XorDdos využívaný ako vektor útoku pre ďalšie aktivity. 

^Zdroje

^{Botnet Statistics}

^{Mirai, STRRAT and Emotet Botnets See Tesurgence in Q1 2022}

^{Linux Targetet Malware Increased by 35 percent in 2021}

^{Microsoft Linux Botnet}

^{Mirai Botnet Attacks Explained}

^{Mirai Botnet Creators FBI Sentencing}

^{IoT tatistics}