Botnet to grupa komputerów zainfekowanych oprogramowaniem wirusowym, pozwalającym sterować nimi zdalnie (często za pomocą komunikatów przesyłanych siecią IRC) i to bez wiedzy użytkowników poszczególnych jednostek. Liczbę zainfekowanych w ten sposób komputerów, wchodzących w skład różnych sieci botnet, szacuje się na kilka milionów w skali całego świata.

W pojedynczej sieci zazwyczaj działa od kilkuset do kilku tysięcy komputerów. Zdarzają się też liczniejsze sieci, jak na przykład namierzony w 2007 Storm botnet, liczący 1,9 miliona komputerów-zombie. W ostatnich latach coraz powszechniejsze jest tworzenie się mniejszych, a tym samym trudniejszych do wykrycia botnetów.

Utworzona sieć komputerów-zombie służy zazwyczaj dokonywaniu ataków na inne sieci i serwery, rozsyłaniu SPAM-u, kopaniu kryptowalut, a także do kradzieży poufnych danych. Do najczęściej przechwytywanych informacji należą loginy i hasła do kont e-mail, danych bankowości internetowej, numerów kart płatniczych oraz dane dostępowe do systemów firmowych.

Botnet jest również popularnym narzędziem wśród osób zajmujących się przeprowadzaniem ataków DoS, a mówiąc ściślej – jednego z rodzajów DoS, czyli DDoS. Podczas takiego ataku komputery uwikłane w sieć wysyłają na serwery wybranej firmy lub instytucji olbrzymią liczbę zapytań, symulując naturalny ruch. Sparaliżowane serwery nie obsługują „prawdziwych” klientów, co tym samym prowadzi do strat finansowych i paraliżu działalności.

W czasach globalizacji, gdy komunikacja na duże odległości odbywa się często poprzez zainstalowane na komputerze czy smartfonie aplikacje i komunikatory, infekowanie kolejnych komputerów przychodzi przestępcom z dużą łatwością.

Jak działa botnet krok po kroku?

Botnety działają w sposób zorganizowany i zazwyczaj niewidoczny dla ofiary. Po infekcji urządzenie staje się częścią większej sieci kontrolowanej przez cyberprzestępców. Jak wygląda ten proces?

1. Infekcja – urządzenie zostaje zainfekowane złośliwym oprogramowaniem (np. przez phishing lub luki w systemie).

2. Instalacja bota – malware instaluje niewidoczny program, który działa w tle.

3. Połączenie z serwerem kontrolnym (C&C, czyli command and control) – Zainfekowane urządzenie łączy się z serwerem kontrolnym cyberprzestępcy (tzw. bot herdera).

4. Zdalne sterowanie – bot herder wydaje polecenia, które trafiają do wszystkich komputerów w sieci.

5. Wykonywanie ataków – botnet może przeprowadzać ataki DDoS, rozsyłać SPAM, kraść dane lub infekować kolejne urządzenia.

Podejrzewasz, że Twój komputer lub komputery zostały wchłonięte przez botnet? Jak wykryć tego typu działanie?

O ile pewną diagnozę należy zostawić w rękach specjalistów ds. cyberbezpieczeństwa, to istnieją pewne przesłanki, które mogą wskazywać na zainfekowane komputera botnetem. Oto kilka z nich:

• Duże obciążenie łącza sieciowego. Jeśli połączenie z Internetem nagle zwolniło, pomimo braku wykonywania obciążających czynności, jak pobieranie czy wysyłanie dużych plików, a stan ten utrzymuje się przez dłuższy czas, warto przyjrzeć się temu problemowi z bliska. Być może na komputerze będzie można też zaobserwować inne symptomy botnetu.


• Zwiększone użycie zasobów systemowych, takich jak procesor i dysk, może wskazywać na obecność botnetu. Jeśli komputer wyraźnie zwolnił, wentylatory pracują na pełnych obrotach nawet w stanie bezczynności, a otwieranie plików i praca programów odbywa się wolniej niż zwykle, może to wskazywać, że mamy do czynienia z botnetem.


• Pojawiające się błędy i ostrzeżenia zapory sieciowej oraz programów antywirusowych są oczywistym i alarmującym objawem, że z komputerem dzieje się coś nie tak.