يشير مصطلح شبكة البوتات Botnet إلى أي برامج ضارة تمثل جزءًا منع شبكة روبوتات تقاد من مركز القيادة والتحكم C&C الذي يديره مجرمي الانترنت.عادةً ما توفر البنية التحتية للروبوتات أيضاً تحديثًا للبرامج الضارة، و دعماً لوجستياً آخر. تعد Botnet تهديداً مستمراً و غامضاً. تتطلب بعض برامج الروبوتات الخبيثة برنامج مضيف، على سبيل المثال ، المكونات الإضافية والإضافات الخبيثة للمتصفح). لكن هناك برامج روبوت خبيثة أخرى قائمة بذاتها. ويمكن أن تنتشر تلقائياً عن طريق استغلال أجهزة الكمبيوتر أو المستخدمين ضعيفي الحماية على الانترنت. وتشمل هذه النشاطات ولا تقتصر على أحصنة طروادة ، وبرامج الفدية و هجمات منع الخدمة وروبوتات البريد العشوائي ، والبرامج الضارة للأجهزة المحمولة ، وما إلى ذلك.
استخدام شبكة البوتات Botnet
كما أسلفنا فإن الـ Botnet هي شبكة من أجهزة الحاسب المصابة والمتصلة بشبكة الانترنت والتي يتم التحكم بها من أجل تنفيذ العمليات أو الهجمات بشكل متزامن. و يتم ذلك كإرسال رسائل البريد الالكتروني العشوائي spam أو القيام بهجمات منع الخدمة الموزعة DDoS Attack. كما يمكن لمجرمي الانترنت التحكم بهذه الشبكة عن بعد لخدمة مصالحهم و التستر خلف ضحاياهم. وهذا الأمر يسمح بتجنب كشف هوية منفذ الهجوم الحقيقي ويصعب من الإجراءات القانونية المتخذة من قبل وكالات تطبيق القانون.
المصطلح Botnet جاء من الدمج بين الكلمتين robot and network و من أبرز توظيفاتها الأمور التالية:
- مهاجمة أجهزة أخرى.
- إرسال بريد إلكتروني مزعج spam أو رسائل مزورة لحملات التصيد الاحتيالي.
- تسليم انوع أخرى من البرامج الخبيثة كبرامج الفدية وبرامج التجسس أو تنفيذ أعمال ضارة أخرى.
يمكن أن يحدث هذا النوع من الهجمات بدون علم أو معرفة المستخدم الضحية. تخيل الضرر الذي سيسببه جيش من الأجهزة المصابة بهذا النوع من البرمجيات والمتحكم بها من قبل المهاجم لتنفيذ هجمات أخرى منسقة ضد الأعمال التجارية أو المواقع الحكومية.بل و تخيل أنه يمكن للسلطات القضائية أن تحاسب الضحية باعتباره منفذاً للهجمة فيما لو لم تستطع التأكد من كونه ضحية.
ماذا يمكن للمهاجم فعله باستخدام شبكة البوتات Botnet
يمكن للمهاجم تنفيذ العديد من الأمور من خلال إصابة الأجهزة باستخدام botnet:
- إرسال رسائل البريد الالكتروني الغير مرغوب بها spam: يعمل المهاجم على استخدام شبكة الأجهزة المصابة لإرسال هذه الرسائل من خلالها ويتم هذا الأمر بأعداد كبيرة من كل جهاز وتستمر عملية توسع انتشارbotnet للحصول على أجهزة جديدة.
- القيام بهجمات منع الخدمة الموزعة :DDoS – Distributed Denial of Service ضد المواقع الحكومية أو مواقع الشركات. وهذا الهجوم يتم من خلال إرسال طلبات بعدد كبير جداً لن يكون للسيرفر القدرة على التعامل معها (إغراق السيرفر بالطلبات الضارة).
- الاحتيال الإعلاني: يمكن للأجهزة المصابة أن تقوم بتوليد نقرات وهمية على الإعلانات. وهذا يساعد المحتالين على جمع مبالغ كبيرة من الأموال المخصصة لذلك. وفقاً لتقرير صدر مؤخراً فإن خسارة المسوقين في جميع أنحاء العالم قد وصلت إلى 7.2 مليار دولار بسبب ذلك.
- ا التصيد الاحتيالي: الحفاظ على نشاط الهجمات وإخفاء هوية المهاجم الحقيقي لمنع اكتشافه من قبل جهات تطبيق القانون.
- نشر وتوزيع البرمجيات الخبيثة: كبرامج الفدية وبرامج التجسس، أشهر وأقوى أنواع البرامج الخبيثة التي استهدفت النشاط المالي هو Zeus malware. والذي كان يعتمد في آلية انتشاره على botnet وكانت مهمته الأساسية هي سرقة بيانات الاعتماد والمعلومات المالية المتعلقة بالخدمات المصرفية.
أضرار Botnet
أحد الأمثلة الشهيرة لهذه الأضرار هو Zeus malware الذي كان من الصعب اكتشافه حتى مع استخدام أقوى مضادات الفيروسات المحدثة وبرامج الحماية الأخرى و ذلك لكونه يعمل على إخفاء نفسه باستخدام طرق وتقنيات تخفي متقدمة. وهذا السبب جعل منه أكبر شبكة botnet على الانترنت. وبحسب بعض الإحصائيات فإن حوالي 3.6 مليون جهاز تم إصابته بهذا النوع من البرمجيات في الولايات المتحدة فقط.
نوع آخر من الهجمات والذي تم باستخدام أحد برمجيات الفدية ransomware والمعروف باسم Locky انتشر أيضاً باستخدام botnet. وأصبحت شبكته كبيرة جداً وموزعة في مختلف أنحاء العالم. وهذا الأمر يجعل من عملية إزالتها أمراً فائق الصعوبة ويتطلب جهداً كبيراً وتعاوناً بين العديد من الجهات.
مثال أخر هو البرمجية Simda botnet التي قامت بإصابة أكثر من 770000 جهاز في أكثر من 190 دولة من بينها الولايات المتحدة والمملكة المتحدة وكندا وروسيا وتركيا والعديد من الدول الكبرى الأخرى. وكانت تلك البرمجية نشطة لعدة سنوات وتم استخدامها لنشر وتوزيع البرمجيات الخبيثة واستخدمت لسرقة المعلومات المالية. كما أن مطوري أنواع أخرى من البرمجيات الخبيثة قاموا بدفع أموال لمطوري Simda كبدل رسوم خدمة (إيجار) لنشر البرمجيات الخبيثة مقابل كل هجوم يتم تنفيذه باستخدام هذه الشبكة.
كيف ينشئ مجرمي الانترنت شبكة البوتات؟
الهدف الأساسي من استخدام botnet هو نشر البرمجيات الخبيثة وتنفيذ الهجمات الأخرى. ويتم إصابة جهازك من خلال خداعك لتقوم تنزيل برنامج يحوي على كود برمجي خبيث أو الضغط على رابط مزور. أو قد تتم الإصابة من خلال الإضافات الخاصة بالمتصفح أو فتح مرفقات البريد الالكتروني. وبمجرد القيام بذلك سيصبح جهازك جزءاً من شبكة البوتات وسيتصل مع جهاز المهاجم (الجهاز الذي يتحكم بالشبكة ويسمى سيرفر التحكم والقيادة C&C). وسيبقى جهازك في وضع الانتظار ليتلقى تعليمات جهاز التحكم والقيادة.
ممكن أن تحوي شبكات botnet على آلاف الأجهزة المتحكم بها من قبل المهاجمين. كما يمكن للمهاجمين في بعض الأحيان أن يقوموا ببيع الأجهزة المصابة أو تأجيرها لوقت معين للقيام بهجمات من قبل جهات أخرى.
كيف يمكن تجنيد جهازك ضمن شبكة botnet؟
يوجد عدة طرق للقيام بذلك ومنها:
- فتح مرفقات البريد الالكتروني أو الضغط على الروابط الخبيثة المرفقة.
- فتح ملفات خبيثة يتم مشاركتها عبر وسائل التواصل الاجتماعي وتطبيقات المراسلة الفورية.
- تحميل البرامج من المصادر الغير موثوقة.
- استغلال ثغرات أمنية في الأنظمة او المتصفحات.
الحماية من Botnet
الخطوات التالية تساعد على حماية جهازك من التحول ليكون جزء من شبكة botnet متحكم بها يتم استخدامه للقيام بهجمات أخرى:
- لا تقم بالضغط على أي روابط مشبوهة
- لا تقم بفتح مرفقات رسائل البريد الالكتروني القادمة من مصادر غير معروفة
- استخدم برامج حماية كالجدران النارية ومضادات الفيروسات وتأكد من تحديثه بشكل دوري
- تأكد من تحديث أنظمة التشغيل والبرامج والمتصفحات بشكل دائم لإصلاح الثغرات الأمنية الخاصة بها
في النهاية يجب أن تدرك المخاطر الأمنية الكبيرة لشبكات botnet فهي تعتبر طريقة فعالة لنشر باقي أنواع البرمجيات الخبيثة وتستخدم للقيام بهجمات معقدة أخرى.