2016 год. Республика Либерия – небольшая страна в западной Африке площадью 111 тысяч квадратных километров – столкнулась с серьезной проблемой: ее коммуникационная сеть оказалась в коллапсе. Большинство жителей страны из 4,3-миллионного населения осталась без Интернета, а провайдер Lonestar, который контролирует большую часть национальной сети, понятия не имеет, что все же произошло – единственное, что точно известно, так это то, что сеть не работает.
Со временем стали понятны некоторые аспекты случившегося.Виновником инцидента является Даниэль Кей – британский кибер-преступник, который, как утверждается, был нанят директором Cellman (основного конкурента Lonestar в Либерии) для атаки на ИТ-безопасность Lonestar до тех пор, пока она не будет выведена из строя, что спровоцировало сбой в сети практически во всей стране. Кей , а на его счету значится в различных странах мира.
Кей сам вызвал такой коллапс с отключением сети, но все же он действовал не в одиночку: его комплексная стратегия включала в себя множество бот-сетей (ботнетов), которые непрерывно и одновременно атаковали телефонного оператора до тех пор, пока не вывели из строя его системы информационной безопасности.
Как работает атака ботнетов
Атаки, которые используют бот-сети, становятся все более популярными, . Цель данной стратегии заключается в том, чтобы кибер-преступник (владелец бот-сети, бот-мастер или bot herder) накопил как можно больше ботов (т.е. зараженных устройств). Затем эти боты используются для проведения одновременных скоординированных атак, преследующих определенную цель: прорыв информационной безопасности одной или нескольких систем.
Боты могут иметь несколько точек проникновения: незаконное ПО, вредоносное ПО, которое попадает на устройство в результате неосторожного использования сетей, вредоносные файлы, которые находятся во вложениях в электронных письмах и т.д. По сути, цель состоит в том, чтобы иметь несколько точек, с которых может осуществляться атака, поэтому если их использовать скоординировано, то можно причинить жертве огромный ущерб.
Последствия такого рода атаки
Когда компания сталкивается с атакой ботнетов, то она может испытать следующие последствия:
1. Отключение сети. Боты могут быть запрограммированы на массированный запуск бесконечного числа запросов на определенный веб-сайт, что приводит к его отключению в результате такой распределенной атаки на отказ в обслуживании ( DDoS ). Именно это и произошло с сетью Либерии. А чтобы найти еще один пример, не надо далеко ходить: .
2. Сетевые инфекции. Атака ботнетов может быть направлена не просто на веб-сайт компании, но и непосредственно на ее ИТ-системы. Таким образом, атака может иметь несколько точек проникновения в одну и ту же систему, хотя это и не обязательно: если удается проникнуть в сеть через одну точку проникновения (например, компьютер сотрудника, который запустил вредоносное вложение из электронной почты), то бот может автоматически начать инфицировать остальные конечные устройства, подключенные к этой же сети, полностью компрометируя корпоративную информационную безопасность компании.
3. Кража информации. Если кибер-преступнику удалось проникнуть в ИТ-систему компании, то он может получить доступ к конфиденциальным материалам и документам. Но, что еще хуже, он также может украсть эту информацию и распространить ее среди третьих лиц, что в итоге поставит под угрозу весь бизнес компании.
4. Кража ресурсов. За последние несколько лет, как прямой результат бума криптовалют, появляется все больше и больше кибер-преступников, которые используют ботнеты для того, чтобы заполучить доступ к компьютерам компаний и .
Как избежать атак ботнетов
Для того чтобы защитить себя от такого рода кибер-атак, компании должны предпринимать ряд мер для защиты своей корпоративной информационной безопасности.
1. Политики безопасной работы в Интернете. Сотрудники компаний и организаций зачастую являются самой простой для кибер-преступников точкой проникновения в корпоративную сеть. По этой причине сотрудники должны неукоснительно следовать строгой политике работы в Интернете на своих устройствах, чтобы не посещать подозрительные веб-сайты, определенные пиринговые сети или любые другие платформы, которые потенциально могут заразить устройство с помощью .
2. Мониторинг процессов. Бывают случаи, когда в силу специфики своей работы атаки ботнетов не вызывают подозрений для определенных традиционных систем безопасности. Это означает, что крайне важно осуществлять мониторинг таким образом, чтобы он носил скорее профилактический характер и не допускал последующее дорогостоящего лечения. Решение осуществляет мониторинг всех процессов, которые запускаются в ИТ-системе компании, поэтому любое аномальное поведение ИТ-ресурсов будет незамедлительно зарегистрировано и пресечено. Наличие видимости всего, что происходит на устройствах организации, способствует снижению потенциальных векторов атаки до абсолютного минимума.
3. Осторожность с электронными письмами. , когда атакующий хочет использовать одного человека для заражения всех его коллег. Именно по этой причине каждый сотрудник должен быть предельно внимателен ко всему подозрительному (даже электронное письмо ) и не загружать какое-либо вложение, если имеются хоть какие-то сомнения в доверии к нему.
Если имеется какой-то общий признак, типичный для атак ботнетов, то это их скрытность и незаметность… до тех пор, пока весь этот «ад» не вырвется наружу. Вот почему профилактика и контратака также должны быть проактивны, контролируя каждый процесс в ИТ-системе компании для защиты ее корпоративной информационной безопасности.
Оригинал статьи:
Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
