Zombie-datorerna tar över internet – så fungerar botnät
Din pc eller mobil kan ingå i ett kriminellt nätverk utan att du vet om det. Vi reder ut vad botnät är för något – och vad du kan göra för att skydda dig.
Först en kort resumé. Enkelt uttryckt är en internetrobot är ett program som utför automatiserade uppgifter via nätet. När en mängd internetrobotar sammankopplas för att få mer resurser till sina funktioner kallas det för ett botnätverk.
Som så mycket annat inom it-historien är bottarnas begynnelse experimentell och oskyldig. Innan webben fanns, i slutet av 1980-talet, skapades nätrobotprogram, bland annat för att hålla dåtidens chattkanaler aktiva, även om ingen skrev för tillfället.
I den tidiga webbutvecklingen, och framåt, har bottar medfört väldigt viktiga tekniska landvinningar. Webcrawler började indexera webbsidor 1994 för att göra dem sökbara. År 1996 aktiverades det som nog är världens mest kända internetrobot, Googlebot, fast då under namnet Backrub. Året efter upptäcktes de första skadliga botprogrammen.
Vi hoppar framåt tio år och 2007 blev cirka 50 miljoner datorer smittade och kopplade till botnätverket Storm, som användes till allt från storskaliga id-kapningar till olaglig påverkan av börskurser. Och här är vi nu.
Dominerar internet
Idag utgör ungefär två tredjedelar av all datatrafik på nätet av automatiserade applikationer av olika slag. Drastiskt formulerat har bottarna tagit över internet. Enligt en omfattande analys av Barracuda, ett amerikanskt företag som tillhandahåller skyddsinriktade och nätverksapparater och molntjänster, är det skadliga och kriminella botnätverk som står för över 40 procent av den automatiserade trafiken.Tushar Richabadas, produktchef för nätverkssäkerhet på Barracuda, ett amerikanskt företag som tillhandahåller skyddsinriktade och nätverksapparater och molntjänster. – Botnät som används för att utföra storskaliga angrepp kommer att fortsätta att växa. Som vi har sett med utpressningsattacker försöker aktörer ideligen att identifiera program som har sårbarheter för att sedan utnyttja dem. På grund av internets omfattning kommer dessa attacker alltid att börja med automatiserade skanningar från botnätverk och sedan gå vidare till aktiv exploatering, säger Tushar Richabadas, produktchef för nätverkssäkerhet på Barracuda.
Som vanlig användare är det rimligt att fråga sig hur det går till när ens egens utrustning bokstavligen blir en del av ett kriminellt nätverk.
– För att din dator ska bli en del av ett botnät så måste skadlig kod köras på enheten. Det kan ske genom att användaren luras att installera något, till exempel på en sida som hävdar att du måste “Uppgradera din videospelare” för att se innehållet. När du laddar ner och kör programmet är det skadlig kod som gömmer sig i datorn och ger botnätverken kontrollen. Det kan även ske helt automatiskt genom att angriparen utnyttjar sårbarheter i datorer, routrar, nätverkskameror eller andra uppkopplade apparater. De största botnäten består av flera hundra tusen infekterade enheter, säger Anders Nilsson, it-säkerhetsexpert på företaget Eset som producerar antiviruslösningar sedan 30 år tillbaka.
Full kontroll över din enhet
Att våra datorer, mobiler, och annan uppkopplad hårdvara, skulle användas för grova brott är obehagligt och irriterande på flera nivåer samtidigt.
– Olika grupperingar har olika syften. Vissa använder bara datorns resurser för att utföra attacker mot företag och myndigheter, där de som drabbas uppmanas att betala lösensummor för att de ska sluta. Andra använder datorns kapacitet för att generera kryptovaluta, eller skicka e-postspam. Eftersom de oftast har full kontroll över enheten kan de göra i princip vad som helst: spela in video med webbkameran, logga allt som skrivs på tangentbordet, spara kreditkortsnummer eller försöka hitta vägar in på företaget du jobbar på, säger Anders Nilsson på Eset.Anders Nilsson, it-säkerhetsexpert på företaget Eset som producerar antiviruslösningar.
Ransomware-as-a-service
I och med att botnäten funnits så länge har en marknad uppstått där kriminella erbjuder sina tjänster till andra brottslingar. Tillvägagångssättet härmar den legitima it-branschens affärsidéer när det gäller molntjänster.
– Det går att köpa attacker och angreppsmetoder från robotnätverksligor som då agerar som en sorts grossister. Det kallas ransomware-as-a-service (utpressningsattack-som-tjänst) och är mycket vanlig både som abonnemang och vid enstaka tillfällen. Exempelvis hade de som greps för de globala attackerna som bland annat drabbade Coop förra året hyrt de tekniska förutsättningarna från en tredje part, berättar Jan O. Olsson, kriminalkommissarie på nationellt it-brottscentrum vid Polismyndighetens nationella operationella avdelning, Noa, det som förr hette Rikskriminalen.Jan O. Olsson, kriminalkommissarie på nationellt it-brottscentrum vid Polismyndighetens nationella operationella avdelning, Noa. Polisen i Sverige samarbetar med andra nationers myndigheter för att kunna plocka ned, eller i alla fall begränsa, skadliga botnätverk. Men det är ingen enkel uppgift att hålla jämna steg med de digitala förbrytarna.
– Det finns många sätt att försöka dölja sin trafik, eller registrera anonyma domäner. Det som oftast brukar fungera bäst är de traditionella metoderna där man tittar på finanserna istället. När pengar hamnar på ett konto finns det flera sätt att spåra var de kommit från. Det finns emellertid många viktiga samarbeten mellan både polismyndigheter, Europol, och säkerhetsföretag i de här sammanhangen, säger Anders Nilsson på Eset.
Globala polisinsatser
Ett exempel på det är den gränsöverskridande utredning som genomfördes i januari 2021. Förutom Sverige deltog rättsvårdande myndigheter från bland annat Tyskland, Ukraina, Frankrike, Litauen och USA.
– Emotet var ett gigantiskt botnätverk som svensk polis var med och hjälpte till att stänga ned. Varje land samlade in digitala bevis från de drabbades datorer, de länder som hade servrarna hos sig tog dessa i beslag, höll förhör, gjorde husrannsakningar, och så vidare, Jan O. Olsson på Noa.
Emotet upptäcktes redan 2014 och var länge varit en av de mest professionella tjänsterna för cyberbrottslighet i världen. Botnätverket kunde bland annat expandera genom att skadlig kod skickades till nya offers datorer genom infekterade Word-dokument i mejl-bilagor. Att botnätverk har sin uppkomst i Sverige lär dock vara synnerligen ovanligt.
– Ingen i landet har, vad jag vet, dömts för att ha skapat ett botnät i syfte att begå kriminella handlingar. Att använda sig av en sådan metod kan vara ett grovt brott som kan ge upp till sex års fängelse. Sedan är det ju ofta ett led i annan brottslighet, som penningtvätt och liknande, säger Jan O. Olsson på Noa och tillägger:
– Om det är sällsynt att botnätverk uppstår i Sverige är dock sannolikheten hög att de har sina säten längre österut.
Ojämn kamp
– Om man kan hitta servrarna som angriparna använder för att skicka ut kommandon, kan man förhoppningsvis spåra dem där. Då är det viktigt att man inte bara tar ner servrarna på en gång, utan aktivt övervakar dem för att spåra vem som ligger bakom, eller kanske till och med kan använda inbyggda funktioner för att skicka kommandon om att botnätet ska raderas från alla smittade enheter, Anders Nilsson på Eset.
Enligt uppgifter i tyska medier angreps Emotet-nätverket även inifrån, vilket i sin tur kan betyda att det finns statsunderstödda botnät som oskadliggör botnät. Operationen med att få Emotet att avinstallera sig självt tog nästan sex månader och blev klart sommaren 2021.
– Det är en ojämn kamp på så sätt att en myndighet i ett land antagligen inte vill lägga ner för mycket resurser på brottsoffer i ett annat land, men jag gissar att med tiden kommer vi att få allt fler samarbeten mellan länder. Dock är det inte bara polisen som jobbar med det här. Vi har också teknikföretagen.
– Utvecklingen kommer att gå mot att de samarbetar med polismyndigheter från olika länder för att rensa ut botnätverk i allt högre utsträckning. Jag skulle mycket väl kunna tänka mig att en mjukvaruleverantör i framtiden rutinmässigt söker genom alla molnbackuper efter bott-kod och sedan skickar ut en uppdatering till alla drabbade datorer som tar bort den skadliga koden, förklarar David Lindahl, forskningsingenjör, avdelningen för ledningssystem vid Totalförsvarets forskningsinstitut, FOI. David Lindahl, forskningsingenjör, avdelningen för ledningssystem vid Totalförsvarets forskningsinstitut, FOI.
Prishets och påverkan
Botnätverkens ekosystem präglas av en stor mångfald. Cyberhoten består inte bara av jättelika brottsliga operationer med betydande resurser.
– Ett bra exempel är att använda bottar för att köpa upp knappa “resurser” som Playstation 5 eller grafikkort för att sälja med vinst senare. Så länge det finns efterfrågan kommer så kallade troféjägare (scalpers) att använda bottar för att köpa upp utbudet, skapa konstgjord brist, och dra nytta av de priser som då drivs uppåt. Under de senaste två åren har vi sett att fler och fler kommer in i den här “branschen” som ett sidojobb för att tjäna extra pengar, förklarar Tushar Richabadas på Barracuda.
Icke att förglömma är bottar med olika syften och funktioner aktiva i sociala medier. Det kan handla om vardagsbrott som id-stölder, e-handelsbluffar – men även för hela samhället allvarligare saker, som påverkansoperationer.
– En metod är det som kallas ”lägga konstgräs” (astroturfing). Genom att använda en stor mängd bottar som gör inlägg på sociala medier eller klickar ”gilla” på artiklar kan man använda algoritmerna för att få det att se ut som att det finns en stor gräsrotsrörelse som tycker något, exempelvis. På så sätt kan man sprida politiska budskap, rykten, konspirationsteorier, och få dessa rekommenderade till verkliga människor vars profiler liknar bottarnas. Med ai-teknik kan varje bott ändra lite på meddelandena så att det verkar som att det finns många olika inlägg, och inte bara ett enda som kopieras, avslutar David Lindahl på FOI.
Tips! Så skyddar du dig mot bot-sjukan
Kan jag själv upptäcka om min dator är en del av ett botnät? Eftersom de tjänar pengar på datorns uppkoppling, resurser, eller informationen de kan komma åt, försöker de flesta att hålla sig dolda. Det vanligaste är att man inte märker någonting alls. Andra tecken kan dock vara att datorn blir konstigt långsam, eller att man får varningar från sin internetleverantör.
Hur kan jag skydda min dator från att bli en ”zombie” i ett botnät? Det är viktigt att ha ett uppdaterat antivirusprogram som skyddar datorn. De kan upptäcka allt från filer man laddar ner, till misstänkta botnät-kommandon i nätverkstrafiken.
Sedan är det även viktigt att använda sitt eget omdöme. Ska jag verkligen behöva ladda ner och köra ett program bara för att besöka en hemsida? Ska jag verkligen klicka på länken? Ser allt rätt ut?
