Mikä on botnet?

Saatat joskus kuulla uutisissa kyberhyökkäyksistä. Ne, joista raportoidaan valtamediassa, jakautuvat usein kahteen luokkaan: tietomurrot ja DDOS-hyökkäykset. Tietomurrot ovat kyberhyökkäyksiä, joissa tietoja kopioidaan tietokoneilta, usein tämä koskee käyttäjätietoja, kuten sähköpostiosoitteita ja salasanoja. DDOS-hyökkäys on täysin erilainen kyberhyökkäys, jolla on vähän yhtäläisyyksiä perinteisiin hakkeroihin.

Useimpien kyberhyökkäysten tarkoituksena on päästä järjestelmään ja tehdä jotain, jolla voidaan ansaita rahaa, kuten varastetun datan myyminen tai pääsyn lunastaminen. DDOS-hyökkäys on aktiivisesti suunniteltu estämään keneltäkään pääsy kohteeseen. DDOS on lyhenne sanoista Distributed Denial Of Service ja se käyttää robottien verkkoa eli "botnetiä" hukuttaakseen verkkosivuston tai muun Internetiin yhdistetyn palvelun liikenteellä niin, että joko lailliset käyttäjät eivät pääse siihen tai palvelimet kaatuvat.

Miten botnet toimii?

Näin suuren verkkoliikenteen luominen olisi käytännössä mahdotonta yhdelle tietokoneelle, joten hakkerit luovat robottiverkon, jonka he voivat ohjelmoida suorittamaan tarjouksensa. Yleensä bottiohjelmistoa jaetaan tavallisten haittaohjelmamenetelmien kautta ja se saastuttaa mahdollisimman monta laitetta. Tartunnan saaneet laitteet muodostavat sitten yhteyden takaisin yhteen harvoista Command and Control -palvelimista eli C&C- tai C2-palvelimista. Bottiverkosta vastaava hakkeri antaa sitten komentoja C2-palvelimille, jotka levittävät komennot koko verkossa. Bottiverkko suorittaa sitten yhden tehtävän kerralla, kuten aiemmin todettiin, tämä on yleensä vain niin paljon verkkoliikennettä kuin mahdollista ja sen lähettämistä epäonniselle kohteelle.

C2-palvelinten ja -bottien kerrostetun järjestelmän tarkoituksena on vaikeuttaa toiminnan sitomista alkuperäiseen hakkeriin. Kuten muutkin hakkeroinnin muodot, DDOS-hyökkäykset ovat laittomia, ongelmana on, että hyökkäystä suorittavat robotit ovat itse asiassa viattomien kolmansien osapuolten omistamia, jotka ovat saaneet haittaohjelmatartunnan.

Bottiverkoissa on kaksi hyökkäystekniikkaa, suorat hyökkäykset ja vahvistushyökkäykset. Suorat hyökkäykset lähettävät mahdollisimman paljon liikennettä suoraan jokaiselta bottiverkon robotilta. Vahvistushyökkäykset perustuvat tiettyjen protokollien väärinkäyttöön, joilla on kaksi ominaisuutta, huijauskelpoinen lähdeosoite ja pyyntöä suurempi vastaus. Lähettämällä liikennettä jokaisesta boteista, jonka lähdeosoite on väärennetty kohteen osoitteeksi, lailliset palvelimet vastaavat kyseiselle palvelimelle suurilla vastauksilla. Vahvistushyökkäykset voivat aiheuttaa paljon enemmän liikennettä kuin suorat hyökkäykset.