Chúng ta thường nghe tới khái niệm mạng botnet, đặc biệt là trong các cuộc tấn công từ chối dịch vụ DDoS. Vậy botnet là gì, mục đích của chúng ra sao?
Botnet là gì?
Botnet là các mạng máy tính được tạo lập từ các máy tính mà hacker có thể điều khiển từ xa. Các máy tính trong mạng botnet là máy đã bị nhiễm malware và bị hacker điều khiển. Một mạng botnet có thể có tới hàng trăm ngàn, thậm chí là hàng triệu máy tính.
Nếu máy tính của bạn là 1 thành phần trong mạng botnet, có nghĩa là nó đã bị nhiễm 1 trong số các loại malware (như virus, sâu máy tính…). Hacker tạo ra mạng này sẽ sử dụng, điều khiển hàng trăm ngàn máy tính của nạn nhân để phục vụ cho mục đích riêng của chúng.
Người dùng máy tính có nguy cơ bị trở thành nạn nhân của mạng botnet tương tự như cách họ bị lây nhiễm malware. Ví dụ như khi bạn sử dụng 1 phần mềm đã không còn được cập nhật các bản vá lỗi bảo mật, sử dụng các plugin có nguy cơ bị tấn công cao như Java, khi download các phần mềm lậu.
Một điểm cũng cần nói tới là những kẻ tạo ra mạng botnet đôi khi không phải để chính chúng sử dụng. Mà trong nhiều trường hợp, chúng tạo ra một mạng botnet ở quy mô lớn nhất có thể rồi rao bán cho những kẻ khác để kiếm tiền.
Mục đích của Botnet
Botnet có thể được dùng cho nhiều mục đích khác nhau. Do mạng botnet là một mạng tập hợp của rất rất nhiều máy tính, nên hacker có thể dùng bonet để thực hiện các cuộc tấn công từ chối dịch vụ (DDoS) vào một máy chủ web nào đó. Theo đó, hàng trăm ngàn máy tính sẽ “dội bom”, truy cập vào một website mục tiêu tại cùng 1 thời điểm, khiến cho lưu lượng truy cập vào site đó bị quá tải. Hậu quả là nhiều người dùng khi truy cập vào website đó thì bị nghẽn mạng dẫn tới không truy cập được.
Botnet cũng có thể được dùng để gửi mail spam. Lợi dụng vào mạng các máy tính “ma” này, spammer có thể tiết kiệm được khá nhiều chi phí cho hoạt động spam kiếm tiền của mình. Ngoài ra, botnet cũng được dùng để tạo các “click gian lận” – hành vi tải ngầm 1 website nào đó mà kẻ tấn công đã chuẩn bị sẵn, và click và các link quảng cáo từ đó đem lại lợi nhuận về quảng cáo cho hacker.
Botnet cũng được dùng để đào Bitcoin nhằm đem lại tiền bán bitcoin cho kẻ tấn công. Thông thường một máy tính của người dùng cá nhân khó có thể được dùng để đào Bitcoin, bởi lợi nhuận mang lại sẽ không đủ để bạn trả tiền điện mà quá trình đào tiền ảo này tiêu tốn. Tuy nhiên, bằng cách lợi dụng 1 mạng máy tính quy mô lớn, hacker có thể khai thác và bắt máy tính của bạn đào bitcoin cho chúng. Số bitcoin sẽ được chúng thu về, còn tiền điện thì bạn sẽ phải trả.
Botnet còn được dùng để phát tán malware. Khi đã điều khiển được máy tính của bạn, hacker có thể dùng chúng để phát tán các phần mềm độc hại nhằm lây nhiễm cho các máy tính khác. Từ đó, danh sách nạn nhân sẽ được kéo dài, mạng botnet ngày càng được mở rộng, và lợi nhuận mà hacker thu được sẽ ngày càng lớn.
Hãng bảo mật Symantec từng công bố một sơ đồ về cách hoạt động của mạng botnet nổi tiếng có tên ZeroAccess. Trong mạng botnet này, 1,9 triệu máy tính trên thế giới đã bị lây nhiễm để làm công cụ đào bitcoin và click gian lận. Hacker đã kiếm được hàng triệu USD mỗi năm từ mạng ZeroAccess, còn các nạn nhân phải chịu hơn nửa triệu USD tiền điện mỗi ngày để phục vụ chúng.
Botnet được điều khiển như thế nào?
Botnet có thể được điều khiển theo nhiều cách. Một số cách khá cơ bản và dễ dàng để ngăn chặn, trong khi một số cách khác thì phức tạp hơn.
Cách cơ bản nhất trong điều khiển botnet đó là mỗi con bot (máy tính trong mạng) sẽ kết nối tới máy chủ điều khiển từ xa. Hacker sẽ lập trình để sau mỗi một ít tiếng, mỗi bot sẽ tự động download về 1 file từ 1 website nào đó, và file này sẽ giống như một file ra lệnh, bắt máy tính của nạn nhân phải làm theo. Một cách khác là máy tính nạn nhân sẽ kết nối tới 1 kênh IRC nằm trên 1 server nào đó và đợi lệnh từ kẻ điều khiển.
Các botnet dùng 2 cách điều khiển này thường dễ dàng bị ngăn chặn. Chúng ta chỉ cần theo các máy tính đang kết nối tới máy chủ web nào rồi đánh sập máy chủ là đã thành công.
Tuy nhiên, cũng có những mạng botnet liên lạc với nhau theo phương pháp ngang hàng, tương tự như mạng ngang hàng peer-to-peer. Theo đó, các con “bot” nạn nhân sẽ kết nối với 1 nạn nhân khác ở gần nó, rồi từ đó tạo nên thành 1 mạng botnet. Cách này khiến cho việc phát hiện và ngăn chặn trở nên khó khăn hơn bởi việc phát hiện ra nguồn gốc “điều hành” mạng này nằm ở đâu. Tuy nhiên, bằng cách cô lập các bot, không cho chúng giao tiếp với nhau, chúng ta cũng có thể ngăn chặn được mạng botnet dạng này.
Gần đây, một số botnet bắt đầu sử dụng phương pháp liên lạc qua mạng Tor. Tor là một dạng mạng máy tính được mã hóa nhằm đem lại tính bảo mật cao nhất có thể. Theo đó, 1 con bot sẽ kết nối tới 1 dịch vụ ẩn trong mạng Tor và điều này khiến việc ngăn chặn trở nên khó khăn. Trên lý thuyết chúng ta không thể tìm ra nơi “trú ngụ” của dịch vụ ẩn kia, mặc dù các mạng tình báo như mạng của NSA có thể sử dụng 1 số phương pháp để phát hiện.
Chúng ta hẳn đã từng nghe nói tới chợ ma túy Silk Road, một trang mua bán online chuyên giao dịch ma túy lậu. Đây được xem là chợ ma túy lớn nhất toàn cầu, và trang web này đã ẩn mình trong 1 dịch vụ của Tor nói trên. Và để khám phá ra chợ ma túy này, FBI đã phải sử dụng tới các biện pháp nghiệp vụ thám tử như ngoài đời, thay vì sử dụng các phương pháp kỹ thuật số như các mạng botnet khác.
Như vậy, tổng kết lại, botnet đơn giản là các nhóm máy tính bị hacker chiếm quyền điều khiển nhằm phục vụ cho mục đích của chúng, từ đó toàn bộ mạng sẽ được sử dụng cho các mục đích mà chúng muốn, như rao bán cho kẻ khác, hay bản thân chúng dùng botnet để tấn công DDoS, đào bitcoin…rồi mang về tiền bạc cho mình.
Tham khảo: Genk