Boty w polskich sieciach 2011.

Data publikacji: 22/08/2011, rt

Wyk.1. Bots by type
Wyk.1. Bots by type

W pierwszej połowie 2011 roku zauważyliśmy ponad 1 mln botów. Bezsprzecznie dominowały dwa z nich Torpig oraz Rustock. Ich liczebność była co najmniej trzy razy wyższa niż pozostałych. Zauważyliśmy prawie 380 tys. maszyn zainfekowanych Torpigiem oraz prawie 350 tys. Rustockiem. Poza nimi znaczący udział miały boty ircowe, Mebroot oraz Conficker. W przypadku botów ircowych mamy do czynienia ze składową wielu odmian botów. Jedną wspólną, wyróżniającą je cechą był kanał zarządzania jakim był IRC. Na szczególną uwagę zasługuje Mebroot, który jest wykorzystywany do wykradania danych klientów instytucji finansowych. Co prawda w większości przypadków poważne, dedykowane ataki są ukierunkowane na podmioty zagraniczne, przy czym istnieje duże prawdopodobieństwo trafienia do botnetu, którego celem jest polski użytkownik.

Wyk.2. Bots by date
Wyk.2. Bots by date

Dzienny rozkład botów w pierwszym półroczu 2011 roku (wyk. 2) utrzymywał się na poziomie pomiędzy dwoma, a czterema tysiącami maszyn. W połowie marca wzrósł nagle do około 12 tys. Jest to związane z danymi dotyczącymi Rustocka, które zaczęliśmy otrzymywać począwszy od 16 marca (wyk. 3). Na przełomie kwietnia i maja miało miejsce kolejne ważne wydarzenie, które spowodowało przekroczenie progu 14 tys. Było ono związane z działaniami grupy ekspertów z Uniwersytetu Kalifornijskiego w Santa Barbarze, która dokonała udanej próby przejęcia botnetu Torpig. Od tego momentu rejestrowano ofiary, które łączyły się do przejętych serwerów. Jeszcze wyraźniej widać to na wyk. 4, przedstawiającym liczbę komputerów zainfekowanych Torpigiem. Kolejne maksima widoczne na przestrzeni maja i czerwca są spowodowane głównie sumaryczną działalnością obydwu botnetów.


Wyk. 3. Rustock by date
Wyk. 3. Rustock by date

W przypadku botów ircowych notowaliśmy średnio 800 zainfekowanych maszyn dziennie. Jeśli chodzi o Mebroota (wyk. 5), to przez wiekszość czasu zarażonych było od kilkuset do 1500 maszym w jednym dniu. Wyjątkiem są tutaj dwa zdarzenia. Pierwsze, mające miejsce pomiędzy 15 a 20 kwietnia(ponad 8500 komputerów) , drugie 31 maja (ponad 6500 komputerów). W obydwu przypadkach miał prawdopodobnie miejsce atak ukierunkowany na polskich użytkowników lub instytucje finansowe.



Wyk. 4. Torpig by date
Wyk. 4. Torpig by date


Wyk. 5. Mebroot by date
Wyk. 5. Mebroot by date

Wyk. 6. Rozkład botów w poszczególnych ASach

Wyk. 6. Rozkład botów w poszczególnych ASach

Najwięcej botów zauważono w AS 5617 należącym do TP SA (wyk. 6). Była to liczba bliska 560 tys. i aż czterokrotnie przewyższa liczbę botów w AS 12741 należącym do Netii (tutaj ok. 140 tys.). W sieciach kolejnych operatorów znajdowało się poniżej 50 tys. zainfekowanyh komputerów. Nie ulega wątpliwości, że najwięcej botów znajduje się w sieciach operatorów, którzy dostarczają internet odbiorcom indywidualnym. Są to duże telekomy takie jak TPSA czy Netia, dostawcy internetu w sieciach kablowych – Multimedia i Vectra oraz dostawcy internetu mobilnego – T-Mobile i Polkomtel. Ponad połowa wszystkich botów (ok. 55%) znajdowało się w sieci TP SA, zaś 15% w sieci Netii.