Инфраструктура ботнетов C2: масштабы и последствия
Демонтаж инфраструктур управления и контроля не только наносит дополнительный удар по борьбе правоохранительных органов с ботнетами IoT, но и изменяет, по крайней мере временно, баланс сил между злоумышленниками, сетевыми операторами и сервисами, которые зависят от бесперебойной работы в самый неподходящий момент. Это важно, потому что проблема не заканчивается с отключением панели; часто она просто меняет фазу.
Международная операция против инфраструктуры управления и контроля.
Власти США, Германии и Канады вмешались и вывели из строя инфраструктуру управления и контроля (C2), используемую ботнетами Aisuru, KimWolf, JackSkid и Mossad, сетями, которые скомпрометировали устройства Интернета вещей (IoT) для координации крупномасштабных атак.
Операция не ограничилась изолированными виртуальными серверами. Она распространилась на домены, панели администрирования и другие звенья технической цепочки, позволяющие операторам отправлять данные. заказы на миллионы устройств Захвачена. С этой базы, как утверждается, были запущены сотни тысяч распределенных DDoS-атак против целей по всему миру, включая IP-адреса, связанные с информационной сетью Министерства обороны (DoDIN). Другими словами, это была не просто еще одна проблемная сеть, а оперативная платформа, способная оказывать реальное давление на чувствительную инфраструктуру.
Что говорится в судебных документах
Согласно данным Министерства юстиции США, судебные документы указывают на то, что более трех миллионов скомпрометированных устройств были взломаны этими сетями — IP-камерами, видеорегистраторами и Wi-Fi-роутерами, среди прочего, — и количественно оценивают количество заказов на атаки, отданных каждой ботнет-сетью: Aisuru — более 200 000; KimWolf — более 25 000; JackSkid — более 90 000; и Моссад — более 1000. Министерство юстиции обнародовало эту информацию..
Эта цифра помогает оценить ситуацию в перспективе, но важно не интерпретировать её как равноценную ценность всех скомпрометированных устройств. Крупный, но нестабильный ботнет — это не то же самое, что и меньший, обладающий устойчивостью, хорошей ротацией узлов и операторами, знающими, когда наносить удар. Иногда проблема заключается не только в количестве задействованных устройств, но и в том, насколько удобна эта сеть в определённые периоды времени.
Почему важны сообщения о резком увеличении трафика?
В декабре Aisuru достигла пика в 31,4 Тбит/с и 200 миллионов запросов в секунду; ранее был установлен рекорд в 29,7 Тбит/с, а в ноябре к ней присоединилась еще одна волна, достигшая 15,72 Тбит/с примерно с 500 000 IP-адресов. Да, это впечатляющие цифры, но суть не в самом техническом заголовке. Они действительно демонстрируют необходимый порог защиты, позволяющий отразить или отразить атаку без серьезного ухудшения качества обслуживания.
Когда происходят такие всплески, дискуссия смещается с вопроса «Опасно ли это?» на вопрос «Кто сможет это выдержать, как долго и какой ценой?». Для операторов среднего размера или сервисов с менее распределенной архитектурой ответ не всегда прост. Существуют среды, где такая атака не приводит к полному отключению всего сервиса, но делает его нестабильным, непредсказуемым или очень дорогим в обслуживании. И это, с операционной точки зрения, уже является частичной победой для злоумышленника.
Когда ботнет работает в таких масштабах, угроза перестает быть разовым событием. Она становится системным риском: перегрузка сети, длительное ухудшение качества, дорогостоящие меры по смягчению последствий и технические специалисты, занятые тушением пожаров вместо устранения первопричины уязвимости.
Техническая интерпретация способа работы
Эти ботнеты использовали хорошо известную комбинацию в средах Интернета вещей: устройства с открытыми интерфейсами, учетные данные по умолчанию или без обновлений, а также программное обеспечение управления, доступное из интернета. Инфраструктура управления и контроля (C2) функционирует как «мозг» сети: она получает команды от оператора и преобразует их в действия, распределяемые между агентами, находящимися на каждом скомпрометированном устройстве.
На бумаге это кажется элементарным, но на практике реальная проблема обычно заключается в сохранении беспорядка. Забытый маршрутизатор, камера, установленная много лет назад, видеорегистратор, который никто не обновляет, потому что «он все еще работает». Именно здесь эти сети находят непрерывность. Им не нужна безупречная сложность на каждом узле; их вполне устраивают многочисленные слабые места, поддерживаемые рутиной, небрежностью или отсутствием инвентаризации.
Кроме того, рынок доступа — модель «киберпреступность как услуга», упомянутая в заявлениях, — усугубляет ущерб. Операторы, помимо разработчика, вредоносное ПО Они могут арендовать доступ к этим сетям для осуществления вымогательства или проведения массовых кампаний. Это существенно меняет ситуацию: вы больше не зависите от какой-либо одной группы, желающей интенсивно использовать ботнет, потому что сеть становится сервисом и распространяется. Для них это выгоднее, а для всех остальных сложнее предугадать действия.
Оперативные последствия и ограничения вмешательства полиции.
The исключение Вмешательство в работу серверов и доменов управления и контроля нарушает координацию, снижает количество отдаваемых новых команд и обеспечивает буфер для сдерживания активных атак. Это ценно, очень ценно. Но важно не переоценивать это: вмешательство в уровень управления не приводит к автоматической очистке зараженных устройств или исправлению действий, которые позволили заразиться.
Это одна из самых распространенных ошибок при интерпретации подобных операций. Предполагается, что раз центральный командный пункт рухнул, то экосистема теперь чиста. Это так не работает. Если владельцы не обновляют прошивку, не меняют учетные данные или даже не знают, что их устройства были открыты, основная проблема остается. А ботнет без этого C2-командного пункта может появиться позже под другим именем, с другой сетью устройств.
Компания Akamai — одна из компаний в этом секторе, участвовавших в сделке, — подчеркнула оперативное влияние этих сетей на критическую инфраструктуру: они могут привести к сбоям в работе основных сервисов, ухудшению пользовательского опыта и перегрузке облачных решений по смягчению последствий сбоев. Этот момент заслуживает внимания, поскольку не все проблемы можно решить простым приобретением дополнительных средств защиты периметра. В некоторых случаях меры по смягчению последствий помогают, но если среда уязвима, плохо сегментирована или зависит от нескольких узких мест, реальный потенциал для улучшения остается ограниченным.
Когда имеет смысл вмешаться, и чего можно ожидать после этого?
Судебные и технические меры вмешательства оправданы, когда они нарушают централизованную координацию, сокращают количество текущих атак и увеличивают операционные издержки для субъектов, зависящих от этого контроля. Они особенно полезны, когда ботнет уже наносит существенный ущерб или имеет достаточно развитую инфраструктуру для обслуживания множества клиентов-преступников.
Нецелесообразно рассматривать их как самодостаточное решение. Если организация сосредотачивается только на идее, что «власти уже приняли меры», она запаздывает в отношении тех частей, которые она действительно контролирует: инвентаризация, сегментация сети, управление учетными данными, удаленное уязвимое пространство и реалистичное обновление программного обеспечения. Потому что не все оборудование можно обновлять с одинаковой скоростью, и не все устаревшие устройства поддерживают надежную защиту. Иногда правильным решением является не «продолжение работы в обычном режиме», а изоляция, замена или полное выведение из эксплуатации затронутых систем.
Для поставщиков и организаций полезные критерии здесь не являются абстрактными. Если они управляют IoT на нерегулярной основе, то основное внимание может быть сосредоточено на снижении рисков и проверке учетных данных. Если же они постоянно используют IoT — видеонаблюдение, шлюзы, распределенные датчики, периферийные сети — минимальных мер контроля уже недостаточно: им необходимо признать, что некоторые риски повторяются, и разрабатывать ответные меры, а не только меры предотвращения. Однако совершенно излишне продолжать рассматривать это оборудование как второстепенные периферийные устройства. Такая практика обычно оказывается дорогостоящей, когда ботнет получает распространение.
Эта операция снижает непосредственные возможности Aisuru, KimWolf, JackSkid и Моссада по проведению кампаний. Это хорошо. Но оперативный урок заключается в другом: пока существуют плохо управляемые устройства, ботнеты не исчезают; они просто меняют инфраструктуру, операторов или возвращаются с другой командной панелью. И это заставляет нас меньше сосредотачиваться на непосредственном ударе и больше на дисциплине, которая следует за ним.
