Стало известно, что самая мощная кибератака в истории Интернета, которую смогли отразить специалисты компании, была проведена на Яндекс. На российского технологического гиганта напал ботнет Mēris, что в переводе с латышского означает «чума». Этот тип угроз не так знаком обычному пользователю, как трояны, ворующие деньги, или вирусы, шпионящие за пользователями через камеры смартфонов. На самом же деле проблема затрагивает сотни тысяч простых россиян. «Лента.ру» выяснила масштабы угрозы.
Станьте частью ботнета
Алексей — довольно известный в близких кругах специалист по информационной безопасности, который неожиданно для себя обнаружил, что несколько месяцев не замечал заражения собственного ноутбука. Поэтому он просит не раскрывать свое настоящее имя или компанию, которую он в настоящее время представляет.
Более года его относительно новый домашний ноутбук периодически терял производительность и вел себя подозрительно: кулеры самопроизвольно отключались, только что открывшийся браузер сразу давал сбой, устройство сообщало об ошибках, перегружало сеть и перезагружалось на длительные периоды времени.
«Мне кажется, что даже человек, далекий от мира технологий, заподозрил бы неладное», — грустно сказал Алексей. — Но все это совпало с началом пандемии, работы было много, пытались обеспечить безопасную удаленную работу тысячам сотрудников одной из крупнейших российских компаний. Когда нагрузка спала, я сел анализировать сетевую активность и обнаружил, что ноутбук стал частью ботнета.».
«Возможно, ваше устройство уже подключено к ботнету».
Когда ноутбук становится частью ботнета, проблема не решается глобально на одном устройстве. Ботнеты представляют гораздо более серьезную угрозу, чем принято считать. И самая главная «уловка дьявола» состоит в том, что элементами этой угрозы являются люди, которые никогда в своей жизни не слышали об этом термине.
«Ботнет — это сеть скомпрометированных устройств, владельцы которых не подозревают, что они были скомпрометированы. Это могут быть устройства для умного дома или Интернет вещей, а также домашние маршрутизаторы и точки доступа », — перечисляет Александр Ахремчик, старший аналитик CSIRT Центра мониторинга информационной безопасности и реагирования на инциденты компании« Инфосистемы Джет ».
Как правило, согласно технической информации, безопасности таких устройств уделяется очень мало внимания. «У них часто есть пароли по умолчанию или старая прошивка, поэтому их очень легко взломать и сделать частью ботнета. Запомните, какой у вас пароль на домашнем роутере: если ответ «по умолчанию», ваше устройство уже может быть в ботнете », — добавляет Ахремчик.
Когда дело доходит до заражения компьютеров обычных людей, а не корпоративных сетей, ботнет отличается от других популярных вирусов тем, что традиционный троянец пытается практически мгновенно украсть данные банковской карты или пароли от социальных сетей. Ботнет просто берет под контроль устройство. С этого момента он ждет приказа от того, кто сейчас его контролирует.
«Создатель ботнета пытается увеличить количество устройств как минимум до 10 000–100 000», — объясняет Павел Коростелев, руководитель отдела продвижения продуктов Security Code. — Затем может быть проведена атака, которая выглядит поэтапно: Оператор дает команду всем устройствам в сети через консоль администрирования ботнета. Команда доставляется на устройства через Интернет и выполняется с использованием предустановленного кода. Ботнету можно поручить отправку трафика или запроса на определенный адрес или выполнение вредоносного кода, когда требуется взломать конкретный ресурс. «
Выполнение команды на сотнях тысяч устройств чаще всего приводит к DDoS-атаке. Чем больше звеньев в зараженной цепочке, тем труднее жертве сопротивляться. Теоретически можно создать ботнет, от которого вообще невозможно защититься. Если он атакует, он обязательно нарушит оборону компании. Проблемы можно исправить, но в лучшем случае на это уйдет много времени — часы. Этим пользуются хакеры: сильная атака парализует работу и нарушает все внутренние и внешние бизнес-процессы. И чем крупнее компания, тем большие убытки она несет.
«Ботнеты подобны редким болезням».
Россия входит в десятку стран, наиболее сильно зараженных ботнетами.
В России проблема не ограничивается горожанами, которые считаются технологическими лидерами. На постоянно обновляемой карте активности ботнета указаны зараженные устройства, расположенные где-то на российско-монгольской границе, и серверы из Забайкалья, контролирующие сеть.
Еще одна особенность ботнетов в том, что нельзя точно сказать, сколько устройств заражено в каждой отдельно взятой стране. Например, на момент написания статьи спецресурсы сообщили, что на территории России находится около 300 тысяч таких устройств. Однако список содержит только те устройства, которые были активны на момент расчетов. Фактическое число может быть в десять раз больше.
«Это настоящая интернет-помеха 21 века», — говорит Алексей. «Уровень заражения настолько высок, и его так легко скрыть, что ботнеты с редкими заболеваниями можно сравнить с инкубационным периодом в несколько десятилетий».
Кто атаковал Яндекс?
На этот вопрос нет ответа, да и получить его в ближайшее время тоже вряд ли удастся. В результате атаки специалисты Яндекса опубликовали на Хабре большой отчет, в котором описали технические детали атаки. Кстати, на следующий день нападению подвергся сам Хабр, но там его масштабы были меньше.
В стратегически важной части исследования специалисты Яндекса рассказали о количестве устройств в ботнете, атаковавших компанию. «Мы собрали данные с 56 000 атакующих устройств. Однако мы предполагаем, что реальное число намного выше — вероятно, более 200 000 устройств. Полная мощность ботнета не видна из-за ротации устройств и нежелания злоумышленника показать всю доступную мощность. Кроме того, устройства в ботнете являются высокопроизводительными устройствами, а не типичными устройствами Интернета вещей, подключенными к сети Wi-Fi. Скорее всего, ботнет состоит из устройств, подключенных через Ethernet-соединение, в основном сетевых устройств », — отмечает Яндекс.
Оказалось, что в атаке было задействовано оборудование из десятка стран, и Россия не возглавляла этот список. Были перечислены почти все из 10 стран с самым высоким уровнем инфицирования: Индия, Китай, Бразилия, США, Индонезия, Ирак.
Однако остается вопрос, что делать со скрытыми ботнетами, которые не участвовали в громких атаках и годами могли быть за кулисами. Они продолжают действовать как серьезная угроза. В том числе и на устройствах простых россиян.
