Co jsou botnety a jak mohou z vašeho počítače udělat hackerskou zbraň?

Jednoho dne se váš počítač začne chovat podivně. Je pomalejší než obvykle, ventilátory se nečekaně roztočí naplno, a přestože neděláte nic náročného, zdá se, že něco v pozadí spotřebovává systémové zdroje. Bohužel s vysokou pravděpodobností jste se nevědomky stali součástí botnetu – jedné z nejnebezpečnějších zbraní v arzenálu kybernetických zločinců.

Co je to botnet?

Botnet je síť infikovaných počítačů a zařízení, které jsou tajně ovládány útočníkem (často označovaným jako „botmaster"). Název vznikl spojením slov „robot" a „network" (síť), což výstižně popisuje jeho podstatu – armádu počítačových „robotů" připravených plnit příkazy svého pána.

Každý infikovaný počítač v této síti se nazývá „bot" nebo „zombie". To, co dělá botnety tak nebezpečnými, je jejich kolektivní síla. Zatímco jeden infikovaný počítač má omezený potenciál, tisíce nebo dokonce miliony spojených zařízení vytvářejí mocnou výpočetní sílu, kterou lze zneužít pro různé škodlivé aktivity.

Jak se váš počítač stane součástí botnetu?

Proces, kterým se váš počítač promění v poslušného „bota", začíná infekcí malwarem. 

Existuje několik běžných způsobů, jak k tomu může dojít:

• Phishingové e-maily – Obdržíte zdánlivě legitimní e-mail s odkazem nebo přílohou, která obsahuje škodlivý kód.
• Drive-by downloads – Navštívíte kompromitovanou webovou stránku, která automaticky stáhne a nainstaluje malware bez vašeho vědomí.
• Zranitelný software – Útočníci zneužijí bezpečnostní chyby v aplikacích nebo operačním systému, které nebyly aktualizovány.
• Sociální inženýrství – Jste přesvědčeni, abyste si nainstalovali program, který je ve skutečnosti trojský kůň obsahující zadní vrátka pro útočníky.

Po úspěšné infekci se ve vašem systému usadí malware, který většinou zůstane nenápadný. Je navržen tak, aby se skryl před antivirovými programy a uživateli. Poté se spojí s tzv. command and control (C&C) serverem – centrálním uzlem, odkud botmaster řídí celou síť.

Jak útočníci využívají infikované počítače?

Jakmile je botnet vytvořen, může být použit pro různé škodlivé aktivity. Ty nejznámější si probereme níže.

DDoS útoky (Distributed Denial of Service)

Nejznámější využití botnetů jsou DDoS útoky. Útočník v tomto případě nařídí všem botům v síti, aby současně zasílaly požadavky na konkrétní webovou službu nebo server. Masivní množství provozu zahlcuje cílový server, který pak není schopen zpracovávat legitimní požadavky.

Příkladem může být botnet Mirai, který v roce 2016 způsobil jeden z největších DDoS útoků v historii, když nakrátko vyřadil z provozu významné internetové služby včetně Twitteru, Netflixu a Redditu.

Rozesílání spamu a šíření malwaru

Váš počítač může být použit k rozesílání nevyžádaných e-mailů nebo dalšímu šíření malwaru. Útočníci tak mohou distribuovat spam, aniž by odhalili svou skutečnou identitu, protože e-maily pocházejí z legitimních, avšak kompromitovaných počítačů.

Krádeže citlivých údajů

Botnet může být vybaven funkcemi pro sledování stisků kláves, pořizování snímků obrazovky nebo prohledávání souborů. To útočníkům umožňuje ukrást vaše hesla, čísla kreditních karet, osobní údaje nebo obchodní tajemství.

Těžba kryptoměn

V posledních letech se stalo populárním využívat výpočetní sílu botnetů k těžbě kryptoměn (tzv. cryptojacking). Váš počítač může v pozadí těžit Bitcoin, Monero nebo jiné kryptoměny, zatímco veškerý zisk putuje do kapes útočníka. Vy mezitím platíte zvýšenou spotřebu elektřiny a trápíte se sníženým výkonem svého zařízení.

Pronájem botnetů

Mnozí útočníci dokonce pronajímají své botnety jiným kyberzločincům – jde o model známý jako „Botnet-as-a-Service" (BaaS). Za poplatek si může prakticky kdokoliv najmout botnet pro své vlastní škodlivé účely, bez nutnosti technických znalostí potřebných k jeho vytvoření.

Známé botnety a jejich dopady

Historie botnetů je plná příkladů ničivých sítí, které způsobily značné škody.

Conficker

Conficker, objevený koncem roku 2008, rychle vyrostl v jeden z nejznámějších botnetů v historii kyberkriminality. Na vrcholu své aktivity v roce 2009 infikoval přes 10 milionů Windows počítačů po celém světě, což z něj učinilo jednu z největších botnet sítí všech dob. 

Co činilo Conficker mimořádně nebezpečným, byla jeho schopnost neustále se aktualizovat a bránit se detekci. Malware dokázal blokovat přístup k bezpečnostním webům, znemožňoval stahování aktualizací a disponoval pokročilými funkcemi pro zahlazování stop. 

Přestože byla proti němu vytvořena speciální pracovní skupina (Conficker Working Group), která zahrnovala významné bezpečnostní společnosti, zůstává Conficker dodnes částečně aktivní, i když v mnohem menším měřítku.

Gameover Zeus

Gameover Zeus se objevil kolem roku 2011 a rychle se stal jedním z nejobávanějších finančních malwarů. Specializoval se na krádeže bankovních údajů a hesel, přičemž je odhadováno, že způsobil finanční škody přesahující 100 milionů dolarů. 

Na rozdíl od svých předchůdců používal šifrovanou peer-to-peer komunikační síť místo tradičních C&C serverů, což značně ztěžovalo jeho odhalení a odstranění. Tento botnet byl často spojen s ransomwarem CryptoLocker, který šifroval soubory obětí a požadoval výkupné. 

V roce 2014 proběhla rozsáhlá mezinárodní operace s názvem „Operation Tovar", během níž se orgánům činným v trestním řízení z několika zemí podařilo dočasně narušit infrastrukturu botnetu. Jeho tvůrce, Rus Evgenij Bogačev, byl obviněn a dodnes figuruje na seznamu FBI s odměnou 3 miliony dolarů za informace vedoucí k jeho dopadení.

Mirai

Mirai, který se objevil v roce 2016, přinesl zásadní změnu v pojetí botnetů, když se zaměřil především na IoT zařízení jako kamery, routery a dětské monitory. Botnet využíval jednoduchou, ale účinnou strategii – systematicky prohledával internet a pokoušel se přihlásit do zařízení pomocí databáze výchozích přihlašovacích údajů. 

Vzhledem k tomu, že mnoho uživatelů nikdy nemění tovární nastavení, byl tento přístup překvapivě úspěšný. Mirai získal celosvětovou pozornost, když 21. října 2016 provedl masivní DDoS útok na společnost Dyn, poskytovatele DNS služeb. 

Útok dočasně vyřadil z provozu významné internetové služby včetně Twitteru, Netflixu, Redditu a mnoha dalších. Nejvíce znepokojující na Mirai bylo, že jeho zdrojový kód byl zveřejněn online, což vedlo k vytvoření mnoha odvozenin a napodobitelů. 

Mirai tak prakticky odstartoval novou éru IoT botnetů, které nadále představují významnou hrozbu vzhledem k rostoucímu počtu často nedostatečně zabezpečených IoT zařízení.

Emotet

Emotet se poprvé objevil v roce 2014 jako relativně jednoduchý bankovní trojan, ale postupně se vyvinul v sofistikovanou modulární infrastrukturu pro distribuci malwaru. Byl označován jako „nejnebezpečnější malware světa" až do jeho rozbití mezinárodní policejní operací v lednu 2021. 

Jeho hlavní síla spočívala ve schopnosti šířit se prostřednictvím napadených e-mailů, které často obsahovaly škodlivé dokumenty a využívaly sociální inženýrství k přesvědčení obětí, aby povolily makra.

Emotet fungoval jako „malware-as-a-service" a byl pronajímán jiným kyberzločincům pro distribuci dalšího škodlivého softwaru, včetně ransomwaru jako Ryuk nebo bankovních trojanů jako TrickBot. Jeho modularita umožňovala operátorům přizpůsobit útok konkrétním cílům a neustále měnit taktiky, aby se vyhnuli detekci. 

I když byl v lednu 2021 neutralizován koordinovanou akcí policejních složek osmi zemí (včetně Nizozemska, Německa a USA), existují obavy, že by se mohl v budoucnu znovu objevit, jak se to stalo u mnoha jiných botnetů.

Jak poznám, že je můj počítač součástí botnetu?

Detekce botnetu může být obtížná, protože moderní malware je navržen tak, aby zůstal skrytý a nenápadný. Zpozornět byste měli, pokud se počítač bez zjevného důvodu zpomaluje, ventilátor se často spouští naplno i při běžné práci, nebo zaznamenáváte neobvyklou síťovou aktivitu v době, kdy počítač aktivně nepoužíváte. 

Dalšími varovnými signály může být podivné chování webových prohlížečů, jako jsou nečekaná přesměrování nebo samovolné otevírání nových záložek. Podezřelá je také jakákoliv nevysvětlitelná změna v nastavení systému, neobvyklé systémové události nebo chybové hlášky objevující se ve zvýšené míře. 

Velmi znepokojujícím příznakem je, když vaše kontakty na sociálních sítích začnou dostávat zprávy, které jste vědomě neodeslali – to může signalizovat, že útočníci získali přístup k vašim účtům nebo že váš počítač aktivně šíří malware.

Jak chránit své zařízení před botnetem?

Prevence je vždy lepší než léčba, zvláště když mluvíme o botnetech. Níže jsme pro vás sepsali několik způsobů, jak svá zařízení chránit.

Udržujte software aktuální

Pravidelné aktualizace operačního systému a aplikací jsou zásadní. Výrobci softwaru pravidelně vydávají bezpečnostní záplaty, které opravují zranitelnosti, jež by mohly být zneužity k infekci vašeho zařízení.

Používejte silná hesla a dvoufaktorovou autentizaci

Silná, jedinečná hesla pro každý účet a dvoufaktorová autentizace významně snižují riziko neoprávněného přístupu. Zvažte použití správce hesel, který vám pomůže udržet přehled o vašich přihlašovacích údajích. Využít můžete také autentizační aplikace.

Buďte obezřetní při otevírání e-mailů a stahování souborů

Neotevírejte přílohy nebo odkazy v e-mailech od neznámých odesílatelů. I když e-mail vypadá, že pochází od známé osoby, pokud je neočekávaný nebo vypadá podezřele, ověřte jeho pravost jiným komunikačním kanálem. Dané osobě například zavolejte nebo ji kontaktujte přes sociální sítě.

Instalujte software pouze z důvěryhodných zdrojů

Stahujte a instalujte aplikace pouze z oficiálních obchodů nebo přímo z webových stránek výrobce. Vyvarujte se pirátským softwarům, které často obsahují malware.

Používejte kvalitní bezpečnostní software

Investujte do bezpečnostního řešení, které nabízí ochranu v reálném čase proti různým typům hrozeb. Zároveň pravidelně provádějte úplné skenování systému.

Zabezpečte svou domácí síť

Změňte výchozí přihlašovací údaje na svém routeru, používejte šifrování WPA3, pokud je dostupné, a pravidelně aktualizujte firmware routeru.

Co dělat, pokud je můj počítač infikován?

Pokud máte podezření, že váš počítač je součástí botnetu, následující kroky vám mohou pomoci:

1. Odpojte zařízení od internetu, aby nemohlo dále komunikovat s C&C serverem nebo provádět škodlivé aktivity.
2. Změňte všechna hesla z jiného, neinfikovaného zařízení.
3. Spusťte úplné skenování antivirovým programem v režimu nouzového spuštění, který omezí schopnost malwaru aktivně se bránit.
4. Použijte specializované nástroje pro odstraňování botnetů, které nabízejí ověřené bezpečnostní společnosti.
5. Zvažte přeinstalování operačního systému v případech závažné infekce. Toto je nejspolehlivější způsob, jak se zbavit odolného malwaru, ačkoli je časově náročný.

Pamatujte, že v boji proti botnetům jsme všichni na stejné lodi. Každý počítač, který zůstane nezabezpečený, se může stát zbraní v rukou kybernetických zločinců. Můžete se jim však bránit, a to obezřetností při procházení internetu a instalací kvalitních antivirových programů.