Amerykańskie organy ścigania zlikwidowały cztery główne botnety – JackSkid, Mossad, Aisuru i Kimwolf – odpowiedzialne za jedne z największych w historii ataków typu rozproszona odmowa usługi (DDoS). Operacja przeprowadzona we współpracy z władzami Kanady i Niemiec zdemontowała infrastrukturę dowodzenia i kontroli, która umożliwiła działanie kontrolowanym przez hakerów armiom zainfekowanych urządzeń.
Zakres zagrożenia
W sumie botnety te kontrolowały ponad 3 miliony zainfekowanych komputerów, które często były sprzedawane innym przestępcom w celu uzyskania dostępu lub wykorzystywane do obciążania witryn i usług internetowych masowym ruchem ataków. Szczególnie wyróżniają się Aisuru i Kimwolf. Według Cloudflare wspólnie przeprowadzili atak w listopadzie zeszłego roku, który osiągnął prędkość ponad 30 terabajtów na sekundę – prawie trzykrotnie większą niż poprzedni rekord. Skala ta jest tak duża, że – jak to ujmuje Cloudflare – jest równoznaczna z „jednoczesnym wpisaniem adresu internetowego przez populację Wielkiej Brytanii, Niemiec i Hiszpanii łącznie”.
Ewolucja operacji IoT
Wszystkie cztery botnety opierają się na Mirai, niesławnym botnecie IoT z 2016 r., który już wcześniej bił rekordy, a nawet niszczył duże strony internetowe. Jednak te nowe wersje ewoluowały. W szczególności Kimwolf wykorzystywał tanie podłączone urządzenia jako domowe serwery proxy do infiltrowania sieci domowych, omijając typowe zabezpieczenia routerów. To osiągnięcie znacznie podniosło poprzeczkę bezpieczeństwa nawet w przypadku dobrze chronionych urządzeń.
Gra w kotka i myszkę
Chociaż władze USA zakłócały funkcjonowanie botnetów, usuwając ich serwery dowodzenia i kontroli, operatorzy walczyli, stosując taktyki takie jak przechowywanie danych dowodzenia i kontroli w łańcuchu bloków Ethereum, aby zapobiec przejęciu. Mimo to likwidacja przebiegła pomyślnie, choć nie ogłoszono natychmiastowych aresztowań. Eksperci ds. cyberbezpieczeństwa ostrzegają, że jest to jedynie tymczasowe zwycięstwo.
“Łapiesz jedną mysz, a pod lodówką biega kilkanaście innych. Koty będą polować na grube myszy. Ale to długa gra.”
Cykl zakłóceń i odzyskiwania danych będzie kontynuowany, ponieważ nowi hakerzy nieuchronnie będą tworzyć zastępcze botnety. Główna luka w zabezpieczeniach – niezabezpieczone urządzenia IoT – pozostaje nienaprawiona, co gwarantuje, że ataki DDoS na dużą skalę pozostaną głównym zagrożeniem dla cyberbezpieczeństwa.
