Jak celý útok z minulého týdne velmi pravděpodobně probíhal? Pokud budeme postupovat odshora, nabízejí se dva scénáře: buď útočník vybudoval svou vlastní síť, botnet, anebo si ji pronajal. Druhá možnost je snad dokonce obvyklejší. Ve světě organizovaného zločinu je práce botnetu komodita, kterou lze zakoupit. Ceny těchto „služeb“ se už dokonce dostaly na veřejnost.
Někdy dokonce včetně garance, že pokud bude část zneužitých počítačů odhalena a odvirována či jinak vyřazena z botnetu, dostane „zákazník“ náhradu v podobě jiných, aktivních zombie, jak jsou infikované počítače v botnetu nazývány. Iniciátor útoku tedy dostane pouze přístup do řídicího centra botnetu, který si zaplatil.
Dále čtěte:
Ondřej Filip: Nečekejme, že při útoku přiběhnou chlapíci z CSIRTu a vše vyřeší
Vlastimil Pečínka (Seznam.cz): Anomálie v trafficu nás dovedly do Ruska
Další obvyklé požadavky „zákazníka“ kromě velikosti botnetu (počtu zombies, které ovládá) jsou například fyzické umístění botnetu, případně rychlost odezvy. Lze předpokládat, že útok tohoto typu vedený například z Číny by bylo možné odvrátit opatřením ISP nebo administrátorů postižených serverů tak, aby se k vlastním serverům nedostal – například filtrací na routerech. Například zpravodajství v českém jazyce zřejmě nebude mít masivní návštěvnost z Asie. Pokud ale budou zombies z Česka, bude velmi těžké je takto jednoduše odlišit od legitimních čtenářů zpravodajství. A protože se hraje o čas, může útok uspět. Podobně jako u e-shopu či internet bankingu škoda roste každou minutou, po kterou jsou služby nedostupné. Celá věc má z hlediska peněz jasné pozadí.
Můžeme se setkat s názory „útok na internetbanking je kriminální čin, útok na zpravodajské servery nikoliv“. Je to nesmysl, pokud bráním poskytovateli jakékoli služby k její přístupnosti, vzniká mu ekonomická újma, tedy jde o kriminální čin. Zpravodajské servery jsou sice z pohledu čtenáře bezplatný zdroj, ovšem ve skutečnosti jsou za své služby samozřejmě placené (mimo jiné za zveřejněnou reklamu).
Rovněž se můžeme setkat s tvrzením „pachatelé se chtějí jen zviditelnit“. Nedává to smysl. Napadnout server, vlomit se dovnitř a zpřístupnit na něm prohlášení, budiž, to by takový případ být mohl. Tohle ale není klukovina. A není to ani kosmická věda, kterou skoro nikdo neovládá.
Právě systematičnost, délka trvání, pachatelem vynaložené úsilí a prostředky to mohou snadno vyvrátit. V minulosti v podobných případech zatím pachatel s obětí vyjednával o výkupném, a tak tomu může být i nyní. Pochopitelně, chlubit se tím nikdo nebude. A to i vzhledem k vyšetřování, které již probíhá.
Oproti tomu motiv v podobě testu technologie za úvahu stojí, ovšem jeho rozbor je na samostatný článek.
Jak byl botnet vytvořen?
Ale zpět k technickému rozboru situace. Na spodních patrech, tedy na úrovni vlastních zombie počítačů, pak už není velký rozdíl.
Vlastní útok mohou provést buď specializovanou komponentou, která se v botnetu redistribuuje předem, a případně modifikuje během útoku. V jednoduchém případě ji už malware běžící na zombie „umí“. Vzhledem k typu útoku je druhá možnost pravděpodobnější.
Zombie počítače byly již předtím zavirovány, a dost možná že dlouhodobě. V tomto případě na nich běžel pravděpodobně backdoor. Jde o malware, který bez povšimnutí uživatele vykonává povely z řídicího centra. Dalším jeho úkolem je zůstat bez povšimnutí, případně maskovat kromě sebe další, z řídicího střediska uploadovaný malware.
Po své vlastní instalaci se backdoor přihlásí k řídicímu centru a případně se upgraduje na aktuální. Primární zdroj infekce mohl být různý – od nového exploitu až po dnes už dobře známé způsoby.
V okamžiku útoku vyjdou z řídicího centra synchronizační instrukce a tisíce, nebo spíš desítky či stovky tisíc počítačů začnou systematický útok.
Rekapitulace:
čtvrtek 7.3. – DDoS útok zasáhl weby mobilních operátorů, na možný atak se chystají i e-shopy
středa 6.3. – Weby českých bank ochromil DDoS útok, NBÚ žádá od postižených data
úterý 5.3. – DDoS útoky pokračují, jejich cílem se stal Seznam.cz
pondělí 4.3. - Česká média zaplavily vlny DDoS útoku, přicházel z Ruska
Jak poznat, že mám doma zombie?
A jak vypadá věc z pohledu uživatele zombie, zavirovaného počítače? Záleží na technické úrovni backdooru, který na jeho počítači běží. Pokud je to pokročilý, profesionálně vytvořený malware (a pokud je užíván obezřetně), bude pro běžného a nevybaveného uživatele stěží odhalitelný, anebo spíš úplně neodhalitelný.
Jako příznaky zavirování se tradičně uvádějí: snížení výkonu procesoru, úbytek paměti, zhoršení odezvy při přístupu na internet a pády, potíže nebo neobvyklé chování běžících aplikací. Za posledních 15 let ale výkony i kapacity několikanásobně vzrostly a domácí uživatel má k dispozici takové připojení k internetu jako dříve celá síť. Uživatel dnešní sestavy velmi pravděpodobně nepocítí přítomnost backdooru na počítači snížením výkonu.
Spíš narazí na odmítnutí přístupu k některým službám, protože jeho počítač může být blacklistován (zařazen mezi nežádoucí). To se zatím nestává často. Uživatel totiž o ničem neví a takové opatření by jej trestalo. Nestabilita aplikací jako možný příznak však zůstává. Dnešní software je obvykle velmi stabilní a my si na to již zvykli. Ale protože malware často využívá problematické technologie (injektáž procesů a podobně), může stabilitu aplikací a celého prostředí narušit a snížit.
Samozřejmě je možné backdoor za běhu odhalit například pomocí sledování komunikace počítače na Internetu, ale jak provedení, tak správné vyhodnocení je v možnostech IT profesionála nebo pokročilého uživatele. Navíc bude vyžadovat podle situace další počítač, speciální software a příslušné znalosti.
Kdo je doma adminem
Pokud má běžný uživatel podezření, je třeba aktualizovat antivirový program a provést kompletní kontrolu počítače. Zcela spolehlivé výsledky a nejlepší šance na odstranění má samozřejmě použití Rescue CD – tzv. záchranné CD, protože v takovém případě je spuštěn jak „čistý“ systém, tak i nenarušený a zcela aktuální antivirus. Použití Rescue CD je plně v možnostech běžného uživatele.
Správné řešení je ale být o krok napřed. Předejít problémům důslednou prevencí. Tedy používat aktualizovaná Windows, aktualizovaný prohlížeč webových stránek, aktualizovat také všechny ostatní doplňky. Zcela nezbytné je používat dobrý aplikační firewall a komplexní antivirové řešení.
Tip: Tady jsou programy, které doporučují redaktoři na serveru Slunecnice.cz
Dnešní uživatelé už určité povědomí o zásadách bezpečnosti mají. Ukazuje se ale, že nejsou zcela dostatečné a úplné. Jen pro ilustraci: převážná většina domácích uživatelů pracuje v režimu administrátora, což je hrubý prohřešek proti těmto zásadám.
