Przez ostatnie 12 miesięcy botnety – grupa komputerów zainfekowanych złośliwym oprogramowaniem pozostających w ukryciu przed użytkownikiem, stają się coraz bardziej popularne. Dodatkowo wykazują wysoką odporność na działania systemów bezpieczeństwa IT i zdolności kamuflowania swojej obecności na komputerze użytkownika.

Zazwyczaj kod źródłowy jest ścisłą tajemnicą twórcy botnetu. W przypadku gdy cyberprzestępcy zamierzają posłać złośliwy botnet na emeryturę, często sprzedają za wysoką cenę jego kod. Zdarzają się jednak próby modyfikacji zakupionego kodu lub naśladowania przykładów konstrukcji botnetu, które wyciekły do sieci. Stanowi to poważne zagrożenie dla branży IT, ponieważ specjaliści z branży często nie potrafią reagować na nową konfigurację złośliwego kodu. Przykładem wycieku kodu źródłowego, który został zastąpiony nową formą botnetu jest Zues – doprowadził to do rozwinięcia sieci Gameover, która była znacznie groźniejsza od poprzedniego systemu.

Botnety coraz bardziej odporne

Obecnie botnety są zintegrowane przez wiele platform zapasowych, dla przykładu jeśli kod Gameover zarazi użytkownika w tym momencie jego komputer nie połączy się z siecią innego zainfekowanego urządzenia. Przez zastosowanie takich algorytmów trudno jest odkryć który serwer odpowiada za atak. Operatorzy botnetów szybko i skutecznie reagują na działania działów IT security. Jedna firma antywirusowa przekierowała część botnetu ZeroAcces z 500 tysiącami klientów do serwera laboratoryjnego – nazywamy to sinkholing. W odpowiedzi właściciele botnetu radykalnie zwiększyli liczbę zainfekowanych urządzeń jednocześnie wprowadzając nowe wersje odporne na działania producenta antywirusów.

Złośliwe oprogramowanie botnet w bankowości

W połowie 2013 roku ujawniono botnet dedykowany do uzyskiwania danych uwierzytelniających w bankach – Carberp. Został on użyty do kradzieży ponad 250 milionów dolarów z instytucji finansowych. Działalność tego złośliwego oprogramowania lokalizowana była najczęściej w Rosji, lecz ostatnie miesiąca przynoszą jego dowody działalności na całym świecie. Dodatkowo elementy kodu który wyciekł do sieci jest modyfikowany przez cyberprzestępców, efektem tego jest jeden z najbardziej wyszukanych botnetów – Power Loader.
Sinkholing zastosowany przez firmę antywirusową wywołał dramatyczny spadek przypadków działania botnetu ZeusAcces zidentyfikowanych przez Sophos w lipcu i sierpniu 2013. Właściciele botnetu zareagowali błyskawiczną kampanią i od września obserwowano stały wzrost liczby ataków.

Źródło: Sophos Labs

Kan