BOTNET - MREŽA ZARAŽENIH RAČUNALA ILI BOTOVA, JEDNA JE OD NAJZNAČAJNIJIH PRIJETNJI PREPOZNANIH U DANAŠNJEM SVIJETU INFORMACIJSKE SIGURNOSTI

Lov na Crveni oktobar

Novogodišnji praznici naprasno su završili za istraživački tim GREAT (Global Recearch & Analysis Team) poznate tvrtke Kaspersky Lab. Među mnogobrojnim uzorcima zloćudnog koda (malwarea) koji se svakodnevno analiziraju u jednom od najvrednijih odjela te ugledne tvrtke, tog je dana zaprimljen i uzorak koda koji je poslao jedan Kasperskyjev partner. Uz uobičajenu napomenu da malware radi nešto čudno, istraživači GREAT tima uspostavili su virtualno okruženje za testiranje zloćudnog koda te pokrenuli zaprimljeni malware. Nekoliko sljedećih sati malware nije napravio doslovno ništa i taman kad se č

PIŠE BRANIMIR LAMBAŠA

Vojska poslušnih
Priča oko botnet mreža počinje sad već davne 1999. godine, pojavom trojanca Sub7 i crva Pretty Park,  prvih primjera zloćudnog koda s modelom računala-žrtava koja se spajaju na IRC kanal i preko njega primaju naredbe.
Princip je sljedeći: iskorištavanjem postojeće ranjivosti na ciljanom računalu napadač dobiva pravo pristupa računalu i na njega instalira kompleksni kod koji će uspostaviti komunikaciju sa zapovjednim centrom (Command-and-Control ili C&C poslužitelj). Kad se uspostavi komunikacija C&C poslužitelj računalu-žrtvi dostavlja naredbe za izvršavanje pojedinih akcija iskorišćujući računalnu snagu žrtve. Stvar ne izgleda tako ozbiljna dok sve promatramo u domeni jednog C&C poslužitelja i jedne žrtve. Međutim, u stvarnosti napadač istom metodologijom injektira zlonamjerni kod na brojna računala koja, ako istodobno prime istu naredbu, postaju izuzetno moćna i sposobna za izvršavanje najkompleksnijih računalnih zadataka. I tako nastaje botnet, mreža zaraženih računala ili botova, jedna od najznačajnijih prijetnji prepoznanih u današnjem svijetu informacijske sigurnosti.

Vrhunski špijunski softver koji je početkom godine svojim naprednim metodama iznenadio brojne analitičare i istraživače informacijske sigurnosti star je šest godina i cijelo je vrijeme bio up&running. Dakle, malware-developeri bili su u stanju prije šest godina razviti kod koji će godinama raditi nezamijećen na globalnoj razini i impresionirati stručnjake.

Regrutacija u dva-tri koraka
Stvaranje botneta, odnosno postupak stjecanja ovlasti nad resursima računala-žrtve, provodi se u nekoliko koraka koje radi potpunog razumijevanja treba jasno raščlaniti. Kako bi napadač uopće mogao pristupiti računalu-meti ono mora biti sigurnosno ranjivo, odnosno, mora biti ranjiv jedan od legitimnih instaliranih programa.
Većina operativnih sustava i alata koje obični korisnici upotrebljavaju u svakodnevnom radu je ranjiva i to potencijalni napadač može iskoristiti. Ranjivost je često vezana uz Internet-preglednike dok se na sustavima ili na dijelovima sustava otkriva provjerom, najčešće automatizirano skenerom. Kad se ranjivost otkrije, njena stvarna prisutnost i mogućnost iskorištavanja dodatno se verificira nekim oblikom penetracijskog testiranja. Dakle, prva faza „izgradnje“ botneta je identifikacija propusta ili ranjivosti na ciljanom računalu što napadač može iskoristiti kako bi na njemu stekao privilegije.
U tu svrhu napadač može iskoristiti bilo koju vrst ranjivosti što će mu omogućiti pristup računalu, neovisno o tomu je li riječ o dotad nepoznatoj ili 0-day ranjivosti ili već odavno poznatoj koja nije uklonjena s ciljanog računala.
Kad napadač pristupi računalu-meti počinje injektiranje malicioznog koda. Napadači često instaliraju kod koji sadržava brojne oblike stealth rada, čineći ga tako nevidljivim oku običnog korisnika. Nakon uspješne instalacije maliciozni kod u pravilu odmah provjerava mogućnost spajanja računala na Internet i to putem legitimnog servisa poput Microsoft Updatea. Ako je veza prema vanjskom svijetu potvrđena, maliciozni kod je spreman za primanje naredbi sa C&C poslužitelja čime je zaraženo računalo postalo dio botnet mreže.

Zlonamjernici mogu iznajmiti botnet ili njegov dio na određeno vrijeme baš kao automobil ili neko skladište i iskoristiti mrežu za svoje, najčešće opake aktivnosti.

Superračunalo u rukama zlonamjernih
I, što s botnet mrežom? Botnet s velikim brojem računala (u najvećima ima na desetke i stotine tisuća računala) zapravo predstavlja superračunalo goleme procesorske snage i velike mrežne propusnosti - nalik računalima koja su u pravilu dostupna isključivo velikim tvrtkama ili znanstvenim institucijama pod okriljem državnih vlada. Osim što je maliciozni kod instaliran na računala, u botnetu mogu s njega prikupljati sve podatke i mrežni promet, a udružen s ostalim botnet računalima može djelovati i prema računalima koja nisu dio botneta.
Jedna od prvih zabilježenih malicioznih uporaba botnet mreža bilo je slanje spam poruka ili e-mailova. Za slanje velikog broja e-mailova u kratkom razdoblju potrebna je velika mrežna propusnost pa je idealno raspodijeliti posao na veći broj računala od kojih će svako pojedinačno poslati razuman broj poruka u jedinici vremena, ali kumulativno bit će to iznimno velik broj poruka.
Još maliciozniji način korištenja botneta je uključivanje računala iz zaražene mreže u DDOS napade na druge mreže ili računala. DDOS (Distributed Denial of Service) je vrst napada u kojem se ciljana mreža, računalo ili servis izlaže iznimno velikom broju legitimnih upita u kratkom razdoblju nakon čega računalo-meta više ne može opsluživati sve zahtjeve i zaustavlja svoje aktivnosti. U tom trenutku napadnuti servis, mreža ili računalo postaje nedostupno legitimnom korisniku.
Budući da se prije pojave botnet mreža za DDOS napade uobičajeno koristilo jedno računalo velike snage i propusnosti promet prema meti bio je usmjeren s jedne IP adrese i ciljanom se sustavu bilo relativno lako obraniti jednostavnim blokiranjem prometa s odredišne adrese napadača. Međutim, ako se za DDOS napade koristi botnet, računalo-meta kao izvorišne adrese s kojih dolaze zahtjevi vidi stotine i tisuće različitih IP adresa s različitim geolokacijama pa ne može zaključiti jesu li to adrese napadača ili legitimnih korisnika. Napad se može zaustaviti jedino blokiranjem kompletnog dolaznog prometa čime napadač postiže krajnji cilj -prestaju sve aktivnosti i raspoloživost računala.


U opisanom primjeru prikazana je primjena velike mrežne propusnosti koju kumulativno tvore računala u zaraženoj mreži. Osim propusnosti, značajan faktor je i velika procesorska i memorijska snaga koja nastaje povezivanjem računala u botnet, što je također pogodnost za maliciozne radnje koje narušavaju informacijsku sigurnost. Poznato je da neke metode za zaštitu resursa informacijskih sustava počivaju na nemogućnosti da se određeni podatak „izračuna“ u razumnom razdoblju. Primjerice, korisničke lozinke se smatraju dobrim načinom zaštite iako čine niz poznatih znakova čiji je redoslijed unutar zaporke nepoznat. Isprobavanje svih mogućnosti redoslijeda znakova sigurno će u konačnici dati i točnu zaporku no vremenski okvir u kojem bi prosječno računalo moglo isprobati golemi broj kombinacija je toliki da se nitko neće u to upuštati. Međutim, imate li računalo s izuzetnom procesorskom snagom ili velik broj običnih računala udruženih za otkrivanje lozinke, vremenski okviri se znatno skraćuju i otkrivanje lozinke postaje vremenski prihvatljivo.

Rent-a-botnet
Zajednička karakteristika gotovo svih zlonamjernih aktivnosti na Internetu jest da napadači žele ostvariti neku korist, najčešće financijsku. Kao u svemu i u tom su segmentu napadači koji kreiraju i imaju botnet mreže otišli korak dalje. Budući da je kontrola nad botnetom najčešće dugotrajan proces, a mogućnosti i načini njegovog iskorištavanja su izuzetno raznoliki, botnet se često iznajmljuje. Zlonamjernici mogu iznajmiti botnet ili njegov dio na određeno vrijeme - baš kao automobil ili skladište i iskoristiti mrežu za neke svoje opake aktivnosti. Sustav je toliko razrađen da onaj tko unajmi botnet ima na raspolaganju end-user friendly okruženje za upravljanje mrežom zaraženih računala i pokretanje napada ili drugih zlonamjernih aktivnosti. “Vlasnik” botneta vodi brigu o kontinuiranoj raspoloživoj snazi mreže jer se s vremenom neka računala isključe ako njihov stvarni vlasnik primijeti i ukloni zloćudni kod sa svog računala.

Do ovog trenutka, istraživači Kaspersky Laba identificirali su više od tisuću različitih modula koji se ovisno o okolini instaliraju na zaražena računala

Pametni malware
Priča s početka izazvala je izuzetno zanimanje i među stručnjacima za informacijsku sigurnost i među laicima. Dakako, osnovna pitanja vezana za cijelu kampanju su što botnet radi i tko ga je upogonio? Već u prvoj fazi izgradnje botnet-napadači izveli su trik koji je zasigurno usporio otkrivanje Red October mreže. Naime, ranjivost koju je malware koristio za inicijalni pristup ciljanom računalu bila je poznata godinama kao i exploit (metoda iskorištavanja ranjivosti) koji su razvili kineski hakeri tijekom napada na tibetanske aktiviste. Postavlja se pitanje zbog čega su napadači koristili staru ranjivost za injektiranje izuzetno moćnog koda?
Na ovo pitanje ima nekoliko mogućih odgovora: prvi je da je ranjivost još dovoljno rasprostranjena i prisutna na računalima da ju je moguće uspješno koristiti, a drugi je kako bi se zameli tragovi. Stare poznate ranjivosti manje će zaokupiti pažnju stručnjaka koji otkrivaju i proučavaju malware - oni najčešće smatraju da je riječ o već poznatom malwareu i poznatoj kampanji pa se neće upuštati u daljnje istrage. Treći je razlog, kako bi eventualna istraga o počinitelju krenula u određenom najčešće pogrešnom smjeru, korištenje kineskih exploita što je odmah bacilo sumnju na kinesku hakersku zajednicu.
Ima još nekoliko briljantnih rješenja primijenjenih u izgradnji Red October mreže koja privlače pažnju. Jedno je modularnost malicioznog koda koji se injektira. Za razliku od druge izuzetno poznate mreže Flame čiji je maliciozni kod bio veličine dvadesetak megabajta i kompaktno špijunsko rješenje, ROCRA kod je nekoliko redova veličine manji. I to je zbunjivalo istraživače malwarea, ali onda je shvaćen princip rada. ROCRA na zaražena računala najprije instalira mali paket koji ispituje i provjerava karakteristike okruženja, npr. koji je operativni sustav, je li računalo povezano s drugim računalima, je li to mobilni uređaj i slično.
Ovisno o okruženju zaraženog računala, instalirani malware će sa C&C poslužitelja preuzeti module koje može koristiti na tom računalu. Naprimjer, ako je malware na umreženom računalu ROCRA će preuzeti modul za istraživanje mreže i odmah početi skenirati okolinu da pristupi ostalim računalima u mreži i širiti botnet. Ako se malware instalira na mobilno računalo ROCRA će preuzeti isključivo module koji su pogodni za uporabu na mobilnim platformama.
Ovim principom rada ROCRA je predstavila novi model „inteligentnog“ razvoja i širenja malwarea doslovno dostavljajući custom alate pojedinom računalu u mreži. Dosad su istraživači Kaspersky Laba identificirali više od tisuću različitih modula koji se ovisno o okolini instaliraju na zaražena računala.

I, kome idu zasluge?
Od samog otkrića ROCRA malwarea i botnet mreže bilo je jasno da joj je osnovna namjena špijunsko djelovanje, a ne klasični cyber-kriminal (krađa korisničkih podataka, brojevi kreditnih kartica i sl.). Prema posljednjim istraživanjima koja se bave procjenom šteta nastalih uslijed računalno-sigurnosnih incidenata, ona koja se odnosi na špijunažu - i to najčešće industrijsku - za nekoliko redova veličina premašuje štetu od klasičnog cyber-kriminala. To je dodatno potvrđeno objavom popisa napadnutih institucija, mahom organizacija pod okriljem države, istraživačkih i akademskih centara, diplomatskih predstavništava i slično. Geografski promatrano najviše su pogođena područja bivšeg Sovjetskog Saveza i države Istočne Europe.
Može li se iz dostupnih podataka otkriti podrijetlo malwarea? Većina analitičara bez puno sumnje smatra da je riječ o dijelu ruske hakerske scene, bez dokaza da je projekt sponzorirala država. Na rusko podrijetlo koda upućuje nekoliko činjenica - to su dijelovi koji sadrže nazive varijabli na ruskom jeziku. Kad je mreža otkrivena domene korištene za komunikaciju s umreženim računalima i za dostavljanje - jednu-po-jednu isključivao je hosting provider. U jednom je trenutku uhvaćena komunikacija vlasnika botneta i hosting providera o razlozima gašenja domene - na ruskom jeziku.
Najzanimljiviji i najstrašniji dio priče ostavljam za kraj. ROCRA malware otkriven je krajem 2012. kad je tvrtka partner dostavila uzorak sumnjivog malwarea Kaspersky Labu. Kroz nekoliko sljedećih tjedana istraživači su otkrili više od tisuću različitih modula ROCRA malwarea od koji su posljednji bili kompilirani samo koji dan prije otkrića što pokazuje da je botnet bio istodobno aktivan, dok su prvi moduli nastali 2007., dakle prije šest godina.
Vrhunski špijunski softver koji je početkom ove godine iznenadio naprednim metodama brojne analitičare i istraživače informacijske sigurnosti zapravo je star i cijelo je vrijeme bio up&running. Dakle, malware-developeri bili su u stanju prije šest godina razviti kod koji će godinama raditi nezamijećen na globalnoj razini i impresionirati stručnjake. A sad se nameće pitanje kako izgleda i što radi malware napisan 2008. godine? Ili možda onaj otprije mjesec dana? I, kad će netko pisati o zlonamjernom kodu stvorenom 2013. i o s njime povezanom botnetu?