Botnet là gì?

Các botnet độc hại về cơ bản được tạo thành từ một nhóm những máy bị nhiễm virus, phát triển hoặc lây lan thông qua các lượt tải xuống hoặc thông qua trojan. Máy tính, điện thoại hay máy tính bảng đều dễ dàng bị tấn công.

Khó xác định được chính xác thời điểm của lần xuất hiện đầu tiên, nhưng kể từ đó botnet đã trải qua nhiều giai đoạn tiến hóa, trở nên tinh vi và nguy hiểm hơn bao giờ hết. Hiện vẫn có một con số đáng kinh ngạc về các máy tính bị kiểm soát bởi botnet và hàng ngàn hoạt động vẫn tiếp tục mặc dù đã có rất nhiều vụ việc được ngăn chặn.

Nhưng tất cả những điều đó chỉ là một phần mà chưa thể giải thích hoàn toàn botnet là gì và chức năng của nó ra sao. Dưới đây là tất cả những gì bạn cần biết về chúng.

“Nhân viên” cần mẫn của internet

Botnet là một tập hợp các máy tính được kết nối với nhau hỗ trợ hoạt động hàng ngày của internet.

Chúng không phải là các hệ thống độc hại, trên thực tế, chúng thực hiện nhiều công việc nền và các nhiệm vụ lặp lại cần thiết để cung cấp các dịch vụ trực tuyến.

Vấn đề xảy ra khi ai đó tìm ra cách huy động các loại mạng này chống lại những người khác. Kể từ đó, nhiều botnet đã xuất hiện với mục đích cung cấp các cuộc tấn công tàn phá thô sơ, cùng với chi phí rất thấp.

Mục đích của một botnet là tự lan truyền, lây lan sang các máy người dùng và lây nhiễm chúng bằng một Trojan ẩn, và sau đó chúng chờ đợi cho đến khi được kích hoạt. Sau khi được kích hoạt, cả hệ thống bị lây nhiễm sẽ hoạt động song song các thiết bị khác trên mạng bot, đóng góp tài nguyên để cùng thực hiện một hành động.

Hành động đó phụ thuộc vào mục đích của botnet. Thường thì bọn tội phạm sử dụng sức mạnh xử lý của một máy bị lây nhiễm để khởi động các cuộc tấn công từ chối dịch vụ (Denial of Service - DoS) chống lại các mạng khác.

Tuy nhiên, hầu hết các công việc được thực hiện bởi botnet là công việc đằng sau hậu trường. Chúng thường được triển khai để tự động sản xuất các email rác gửi tới hàng triệu người dùng, đi cùng với các trojan được thiết kế để gài bẫy các thiết bị mới. Botnet thậm chí có thể được thuê để bắn phá một trang web để tăng tỷ lệ khách truy cập ảo của trang web.

Chúng đến từ đâu

Thực sự rất khó để xác định thời điểm botnet xuất hiện, nhưng chúng ta biết được rằng Sub7 và Pretty Park- một loại trojan và một loại sâu- được xem là những phần mềm độc khởi động sự phát triển của botnet.

Chúng được phát hiện ngay trước khi thế giới chuyển mình sang thiên niên kỉ mới và cũng chính chúng giới thiệu cho chúng ta khái niệm về một loại hình mà ở đó máy tính bị lây nhiễm kết nối với một kênh IRC (Internet Relay Chat- Chat chuyển tiếp Internet, một dạng liên lạc cấp tốc qua mạng Internet được thiết kế với mục đích chính là cho phép các nhóm người trong một phòng thảo luận liên lạc với nhau) để thực hiện các lệnh độc hại. Kể từ khi chúng được sinh ra, tin tặc bắt đầu có một môi trường để thỏa sức sáng tạo.

Một trong những thời điểm quan trọng tiếp theo của botnet là sự xuất hiện của Global Threat Bot vào năm 2000, hay còn gọi là GTbot. Đây là một dạng botnet có khả năng chạy theo sự tùy chỉnh để đáp ứng các sự kiện trên IRC, và có quyền truy cập vào TCP (Transmission Control Protocol - Giao thức điều khiển truyền vận) gốc và các cổng logic của UDP (User Define Protocol -Giao thức xác định người dùng), vì vậy nó hoàn hảo đối với các cuộc tấn công DoS đơn giản.

Một thời điểm quan trọng nữa là sự xuất hiện của Agobot vào năm 2002. Sự xuất hiện này đã giới thiệu thêm một khái niệm về cuộc tấn công theo giai đoạn, với các dữ liệu vận chuyển của một gói tin được phân phối lần lượt. Cuộc tấn công đầu tiên sẽ tạo ra một cửa sau, cuộc tấn công thứ hai sẽ cố gắng hạ gục phần mềm diệt virus và cuộc tấn công thứ ba sẽ chặn sự truy cập của các nhà cung cấp bảo mật.

Bredolab, một trong những botnet lớn nhất từng được ghi nhận, xuất hiện trong năm 2009 với ước tính 30 triệu bot dưới sự kiểm soát của nó. Một mạng lưới với kích thước như thế này này có khả năng gửi 3,6 tỷ email rác độc hại mỗi ngày.

Sau đó, vào năm 2016, chúng ta đã chứng kiến sự nổi lên của Mirai, một botnet khét tiếng được cho là đã đứng sau cuộc tấn công vào mạng Dyn vào tháng 10 năm đó, cuộc tấn công đã khiến cho Spotify, Netflix, Amazon và những mục tiêu khác ngoại tuyến. Kể từ đó, mã nguồn của botnet được phân phối dưới dạng mã nguồn mở trên diễn đàn của hacker.

Trở nên phổ biến hơn

Tin tặc bắt buộc phải phát triển cách chúng xây dựng botnet theo thời gian, đáng chú ý nhất là vào đầu những năm 2000 khi truyền thông tin theo giao thức IRC được đổi sang mạng ngang hàng (peer-to-peer – P2P).

Tuy nhiên, giao tiếp IRC đã chứng tỏ được hiệu quả cao của mình, các nhà nghiên cứu bảo mật sớm tìm thấy và nhận ra rằng họ chỉ cần đưa  IRC dựa trên các máy chủ lệnh và kiểm soát (Command-and-Control – C&C) vào danh sách đen để diệt các botnet.

Tin tặc là những người có hiểu biết sâu rộng về thế giới ảo mà chúng đang sống, tìm đến các mạng P2P thay vì các cơ sở hạ tầng phi tập trung C&C. Trong trường hợp của botnet Waledac, các máy tồn tại như những con zombie được sử dụng nhằm cung cấp một mạng P2P có thể ẩn đi máy chủ một cách hiệu quả. Điều này làm cho việc phá vỡ hoàn toàn hoạt động của botnet này gần như là không thể.

Chức năng mới

Khi botnet phát triển, khả năng của chúng cũng đột phát. Cutwail, botnet hoạt động trong năm 2007, giới thiệu kỹ thuật ngụy trang cao hơn nữa và đã có một dấu ấn quan trọng trong sự phát triển của ngành công nghiệp botnet.

Cutwail bao gồm các khái niệm về kết nối sao lưu, cho phép các bot tạo ra tên máy chủ thay thế cho các máy chủ C&C của chúng hàng ngày.

Conficker, botnet xuất hiện vào năm 2008, đã sử dụng một kỹ thuật tương tự và có khả năng tạo ra 50.000 tên thay thế mỗi ngày.

Những phát triển liên tục như thế này đã giúp bọn tội phạm mạng che giấu hoạt động botnet tốt hơn, khiến cho việc thi hành luật pháp gặp rất nhiều khó khăn.

Đấu tranh với tội phạm

Đây cũng không hoàn toàn là một việc dễ dàng đối với ngay cả tội phạm mạng, tuy nhiên cũng đã có một vài sự kiện lớn xảy ra trong thời gian gần đây.

Việc gỡ bỏ MCColo vào năm 2008 là một trong những sự kiện nổi bật nhất. Công ty lưu trữ đã bị loại bỏ sau khi một phóng viên của tờ Washington Post liên lạc với hai nhà cung cấp dịch vụ internet của công ty để cảnh báo họ về hoạt động độc hại thông qua các máy chủ McColo.

Các nhà cung cấp được phát hiện là lưu trữ các máy chủ C&C cho một số botnet lớn, bao gồm cả Rustock và Cutwail.

Khi McColo bị loại khỏi Internet vào tháng 11, mức độ spam toàn cầu giảm gần 80%. Tuy nhiên, thư rác được dự báo là sẽ sớm thống trị trở lại.

Gần đây hơn, sau một cuộc điều tra của FBI, chủ mưu của botnet Kelihos đã bị bắt vào năm 2017 trong khi nghỉ tại Tây Ban Nha. Tin tặc người Nga Peter Levashov được cho là đã dàn xếp các hoạt động của khoảng 300.000 máy tính bị lây nhiễm.

Việc tháo dỡ mạng chỉ được thực hiện nhờ vào các quyền hạn mới được cấp cho FBI, cho phép họ truy cập từ xa vào các máy tính không thể tịch thu được.

Có lẽ cuộc triệt phá botnet lớn nhất diễn ra vào tháng 12 năm 2017, khi hai triệu bot mạnh mẽ Andromeda bị bắt giữ bởi lực lượng đặc nhiệm chung bao gồm các điệp viên từ FBI, Trung tâm tội phạm châu Âu của Europol, Eurojust, Lực lượng hành động tội phạm chung, cũng như các đại diện từ các tổ chức tư nhân như Microsoft. Các botnet Andromeda được cho là đã tham gia vào việc tuyên truyền của ít nhất 80 chủng khác nhau của phần mềm độc hại trên phạm vi toàn cầu, làm cho nó trở thành một trong những hoạt động gỡ bỏ phức tạp nhất trong thời gian gần đây.

Các botnet Andromeda được cho là đã tham gia vào việc tuyên truyền của ít nhất 80 nhóm khác nhau về phần mềm độc hại với một phạm vi toàn cầu, làm cho nó trở thành một trong những chiến dịch gỡ bỏ phức tạp nhất trong thời gian gần đây.

Làm sao để tự bảo vệ?

Bước quan trọng nhất và rõ ràng nhất là đảm bảo người dùng luôn có các phần mềm bảo mật được cài đặt trên PC hay mạng, Hầu hết các nhà cung cấp bảo mật hiện nay có một số các công cụ phát hiện và loại bỏ phần mềm độc hại được tích hợp sẵn như tiêu chuẩn, và chúng phải được bật mọi lúc.

Nhưng việc duy trì bảo mật cơ bản cũng cần được khuyến khích. Luôn đề cao cảnh giác với các email từ các tổ chức lạ hoặc từ những email là mà có đính kèm tập tin. Đây là một cách ưu tiên để tránh sự lây lan của trojan.

Việc cập nhật các bản vá bảo mật mới nhất cũng luôn được khuyến khích. Những bản vá bảo mật nào quan trọng hơn nhiều so với các bản cập nhật tính năng vì chúng có khuynh hướng đóng hay ngăn chặn các lỗi hệ thống đã bị tin tặc tấn công hoặc là mục tiêu của tin tặc trong tương lai.

Nhìn chung, botnet luôn hướng tới những mục tiêu dễ tiếp cận, nhanh chóng bị lây nhiễm và thậm chí các biện pháp bảo mật cơ bản bình thường cũng có thể ngắn chặn được một cuộc tấn công.

Tuy nhiên, giống như hầu hết các tội phạm mạng, việc ngăn chặn hoàn toàn botnet là vấn đề không tưởng.

Nhiệm vụ chỉ đơn giản là cố gắng chiến thắng trong mỗi trận chiến và cần chấp nhận một thực tế rằng đây là một cuộc chiến không bao giờ thắng được hoàn toàn.