Из России ведется командование крупнейшей в мире зомби-сетью под названием Kraken, уверены эксперты. Количество компьютеров в ее составе непрерывно растет и уже насчитывает 400 тыс. В нашей стране, наряду с Францией и США, базируются серверы, с которых сеть получает сетевые командные пакеты. Специалисты компании Damballa Solutions, специализирующейся на защите от ботнетов, обнаружили новую зомби-сеть под названием Kraken. Она включает порядка 400 тыс. компьютеров. Размеры бот-сети превосходят всемирно известную Stormbot. В ноябре 2007 г. эта сеть состояла из 230 тыс. машин. В бот-сеть Kraken уже включены компьютеры порядка 50 компаний из списка Fortune 500, уверены эксперты.

Специалисты из Damballa полагают, что ботнет формируется вирусом, который распространяется через скрытые графические файлы. Как пишет Heise Security, он скрывается от антивирусных сканеров (80% антивирусного ПО просто не распознают его) и регулярно обновляет свой код. Пользователь может заразить свою машину с открытием графического файла — в этот момент вирус уже устанавливает себя на ПК.

Пол Роял (Paul Royal), исследователь из Dambala, считает, что авторы вируса прекрасно знают, как работают антивирусные сканеры, и умело обходят их. В апреле 2008 г., по его оценкам, бот-сеть увеличится еще на 50%, то есть до 600 тыс. зараженных машин.

Пока что ботнет эксплуатируется в основном спамерами, предлагающими медикаменты, услуги онлайн-казино и кредитные услуги. Исследователи отмечают, что отдельные боты сети Kraken рассылают до 500 тыс. спам-писем в сутки.

Вирус, посредством которого расширяется ботнет, имеет возможность самообновления, поэтому, как полагают эксперты из Damballa, возможно, бот-сеть будет использоваться не только для рассылки спама.

SANS Internet Storm Center опубликовал подтверждение существования Kraken и отметил, что ему удалось зафиксировать сетевые пакеты, передаваемые командными серверами ботнета, базирующимися в США, Франции и России.

Впервые ботнет был обнаружен в конце 2007 г., однако первые признаки жизни он подавал еще в конце 2006 г.

По мнению западных специалистов, одна из основных опасностей, которые грозят развитию Интернета, это ботнеты – сети, запущенные при помощи автономного программного обеспечения. Судя по всему, справиться с этой угрозой удастся только путем объединения усилий правительства, телекоммуникационных фирм, пользователей и авторов программного обеспечения.

В конце 1999 года веб-серверы корпораций Amazon, Yahoo!, CNN, eBay, E-Trade и ряда других, немногим менее известных, были выведены из строя, так и не справившись с огромным количеством ложных запросов множества компьютеров с разных концов света. Первые сообщения о подобных атаках появлялись уже в 1996, но всерьез о проблеме распределенных сетевых атак отказа обслуживания (DDoS) заговорили именно тогда.

С тех пор подобные атаки уже не являются сенсацией и проводятся регулярно. Например, в 2003 году была проведена атака на сайт интернет-аукциона eBay, а в 2004 году веб-сайты Google и Yahoo! были недоступны в течение двух дней.

Ход мысли злоумышленников прост: чтобы повредить атакуемой компании совсем не обязательно взламывать ее сервера и похищать информацию, достаточно перегрузить ее веб-узлы. Реализация подобной операции достаточно проста. Единственная трудность - провести атаку с одного адреса невозможно. Адрес будет блокирован. Но если запросы посылать со множества адресов, блокировка станет невозможной и узел не справится с превышающим его возможности количеством запросов.

Таким образом, атака сервера происходит при помощи большого числа других зараженных компьютеров (зомби). Зомби - это зараженный программой (или взломанный) домашний компьютер или сервер, который будет выполнять команды управляющего сервера. Зомби создаются, как правило, с использованием эксплоитов для операционной системы. Машины заражаются через веб-браузер при посещении сайтов, при получении почты или через установку программного обеспечения, содержащего трояны.

В зависимости от совершенства кода на самом зомби, они могут выполнять разные типы запросов на серверы, иногда делая себя совсем не видимыми для файрвола или сложно отличимыми от реального серфера, что, разумеется, усложняет борьбу с ними.

Количество зараженных компьютеров может составлять десятки тысяч. Сети в которые объединяются зараженные машины получили название – BotNet (сеть роботов) или, более удачное название, – ZombieNet (сеть зомби).

Таким образом, изначально BotNet - это средство для создания DDoS-атак.

Подготовительный этап создания сети зомби является, пожалуй, наиболее трудоемкой частью атаки. Создание сети-зомби начинается с взлома или создания своей сети IRC (Internet Relay Channel) серверов. Эти сервера будут дублировать работу друг друга и отсылать команды взломанным персональным компьютерам. Далее, с помощью вирусов или червей заражаются персональные компьютеры рядовых пользователей Интернет. На зараженном компьютере размещается троян - bot, который подключается к IRC серверу, ждет приказов или собирает информацию о компьютере на котором он запущен.

Очевидно, что пользователи компьютеров, с которых направляются ложные запросы, не подозревают о том, что их машина используется хакерами. Отследить распространение такой заразы крайне трудно, так как для общения клиент (bot) и сервер используют IRC, который поддерживается большим числом серверов и используется, например, для создания чатов.

Итак, перечислим основные этапы жизненного цикла сети зомби:
1. Появление нового сетевого вируса.
2. Взлом быстродействующих серверов.
3. Распространение вируса по наименее защищенным компьютерам.
4. Объединение зараженных компьютеров в сеть.
5. Использование сети.
6. Уменьшение числа зараженных машин излечиваемых антивирусными программами.

Если бы зомби-сети использовались только для DDoS-атак, ситуация была бы не столь драматической как сейчас, когда, по данным BBC, заражена четверть всех мировых компьютеров. Но в последние несколько лет особое распространение получили спам-рассылки, для которых доступ к распределенным ресурсам еще желательнее чем для DDoS атак. Спамеры готовы платить за доступ к сети зомби-машин, используя зараженные компьютеры для рассылок. А взломщики готовы создавать эти сети и продавать спамерам.

Если считать, что первые DDoS-атаки появились в 1996г, то в это же время должны были появиться и ботнеты. А значит, 10 лет борьбы с ними не привели к заметному результату. Если учесть, что основа этих сетей – наименее защищенные машины, то возможно, усилия по борьбе с использованием зомби надо было бы направить не на создание новых средств защиты, а на повышение культуры рядового пользователя Интернета.

Константин Сапронов, вирусный аналитик «Лаборатории Касперского» рассказал TelNews.ru о реальной опасности, исходящей от ботнетов, и основных методах борьбы с ними:

- Согласны ли вы с тем, что ботнеты - одна из наиболее серьезных компьютерных угроз на сегодняшний день, или их роль не так уж велика?
- Безусловно, ботнеты – одна из самых серьезных угроз современного Интернета. Киберпреступники используют бот-сети в различных целях, в том числе для рассылки спама, DDoS-атак, массовых заражений, кражи информации. Благодаря модульной технологии боты могут изменять и наращивать свой функционал. Современные вредоносные программы такого рода используют rootkit-технологии, различные пакеры, которые затрудняют их обнаружение. Для своего распространения они используют уязвимости в различных службах, bruteforce-методы и методы социальной инженерии. К тому же технологии, используемые злоумышленниками, постоянно совершенствуются.
Наша статистика, как и отчеты других компаний, занимающихся компьютерной безопасностью, говорит о том, что боты - очень распространенный вид вредоносных программ.

- Не могли бы вы назвать наиболее яркие атаки ботнетов в нашей стране? Чем они закончились?
- Одним из недавних примеров использования бот-сети является массовое заражение вирусом Virus.Win32.GpCode, которое осуществлялось через спам-рассылку. Это шантажная программа, которая шифрует важные пользовательские файлы при помощи сложного ключа, после чего пользователь получает требование уплатить определенную сумму за расшифровку его данных. Автор вируса постоянно наращивал разрядность ключа шифрования, в итоге последняя версия имела ключ длиной в 660 бит. На расшифровку такого ключа среднему домашнему компьютеру понадобилось бы около 30 лет. Правда, мы справились и с этим ключом.

- Какова вероятность обнаружения организаторов такой атаки?
- Используя определенную технику, можно сохранить анонимность в сети при проведении атак. Как правило, в успешном обнаружении авторов не последнюю роль играет человеческий фактор. Многие киберпреступники попадаются благодаря собственной неосторожности.

- Каковы наиболее эффективные методы борьбы с ботнетами?
- Есть несколько простых правил, которые нужно соблюдать рядовым пользователям, чтобы уберечься от атак киберпреступников:
1. Соблюдать осторожность при работе в Интернете и с электронной почтой, не запускать неизвестные файлы, скачанные в сети или присланные в приложениях к письмам;
2. Своевременно устанавливать обновления на используемое ПО;
3. Использовать надежные пароли;
4. Блокировать ненужные аккаунты;
5. Использовать сетевой экран (firewall) и антивирусное ПО.