Botnet Saldırısı nedir? Botnet Saldırılarından Nasıl Korunulur?
Sanayi devriminden sonra dünya genelinde çok büyük bir teknolojik devrim yaşanmış ve tüm dünyanın çehresi hızla değişmiştir. Özellikle bilgi teknolojisi alanında yaşanan gelişmeler, insanlar için büyük kolaylıklar sağlarken, yeni güvenlik sorunlarını da beraberinde getirmiştir.
Günümüzde ortalama bir insan, evinde ve işinde bilgisayar kullanırken bu güvenlik sorunlarıyla baş etmek zorunda kalmaktadır. Bilgisayar teknolojisinin tehdit altında kaldığı en büyük güvenlik sorunlarından biri bot saldırıları ve bilgisayarınızın bir zombi bilgisayar olması ihtimalidir. Peki, bot ve botnet nedir? Bilgisayarınızın bir botnet ağında olup olmadığı nasıl anlaşılır? Botnet saldırılarını engellemek için neler yapılabilir?
Botnet nedir? Nasıl çalışır?
Bugün tek bir tuşla günlük işlerimizi yapmak için kullandığımız akıllı telefonlar, tek taraflı iletişim kurulabilen basit bir teknolojiden evrildi. Önceden satın almak, haberdar olmak, randevu almak gibi işler için bedensel bir güç harcama ihtiyacı duyarken bugün tüm bunları yalnızca internete bağlı akıllı araçlar vasıtasıyla oturduğumuz yerden yapabiliyoruz. Bu kolaylık aynı zamanda verilerimizin de güvenliğini tehdit altına alabiliyor çünkü işlerimizi internet vasıtasıyla yaptığımız için kötü niyetli kişiler tarafından hedef hâline gelebiliyoruz. Burada karşımıza çıkan, sistemi ve verilerimizi tehdit eden birçok zararlı yazılımlar söz konusudur. Bunların en tehlikelilerinden biri de botnetlerdir. Peki, botnet nedir?
Botnet kelime olarak robot network yani robot ağının kısaltılmış adıdır. "Bot-herder"* olarak bilinen tek bir saldırganın kontrolü altındaki, kötü amaçlı yazılım bulaşmış bilgisayarlardan oluşan bir ağdır. Bot-herder yani siber suçlular bilgisayar güvenliğinizi ihlal etmek, bilgisayarınızı kontrol etmek ya da sisteminizi dışarıdan kontrol edilebilen bir bot hâline getirebilmek için çeşitli yollar kullanarak siber saldırı ile sisteminizi ele geçirmeye çalışır.
Siber korsanın kontrolü altındaki her bilgisayar bot olarak adlandırılır. Saldıran taraf, tek bir merkezi noktadan, kendi botnetindeki her bilgisayara eş zamanlı olarak koordineli bir suç eylemi gerçekleştirme komutu verebilir.
Botnetler uzaktaki bir saldırganın kontrolü altında çalıştığından, virüslü makineler saldırganın komutuyla güncelleme alabilir ve çalışma şekillerini değiştirebilir. Sistemli bir şekilde çok fazla bilgisayarı etkilediği için korsanlar genellikle finansal kazanç sağlamak amacıyla karaborsada botnetlerine erişimi kiralayabilirler ya da satabilirler.
Botnetin bilgisayarınıza zarar veren birçok etkisi vardır ancak en kötü yanı bilgisayarı bir zombi gibi çalıştırması, uzaktan kontrol edilebilen, eylemli bir saldırının parçası hâline getirebilmesidir.
Virüs bulaşmış bilgisayarlar, kontrol merkeziyle ve diğer virüslü bilgisayarlarla iletişim kurar. Bu sayede saldırganın kimlik hırsızlığı ve dolandırıcılık yapmasını sağlayarak milyonlarca spam e-posta gönderir ve DDoS saldırılarında web sitelerini uzaktan kontrol edebilir hâle getirir.
Botnet saldırıları nasıl gerçekleştirilir ve ne için kullanılır?
Sıklıkla görülen botnet saldırıları şunlardır; E-posta spam, DDoS saldırıları, dolandırıcılık ya da para çalma (finansal sahtekârlık), hedef odaklı saldırı, veri hırsızlığı.
E-posta spam: Bu saldırılar bugün daha eski bir saldırı türü olarak görünse de en çok yapılan botnet saldırılarındandır. Hiçbir istatistiki bilgiye bakmadan kendi e-postamızı açtığımız her gün birçok spam mail ile karşılaşırız. Bireysel ölçekte dahi bu, botnetin e-posta spam saldırıları hakkında bilgi verir. Her bir bottan milyonlarca spam mesajı göndermek için kullanılır. Örneğin bir botnet, günde 74 milyara kadar mesaj gönderebilir. Ayrıca saldırganın ağına daha fazla bilgisayar almak için kullanılır.
DDoS saldırıları: Bir hedef ağı veya sunucuyu isteklerle aşırı yükleyerek botnetin devasa ölçeğinden yararlanır ve bu ağı kullanıcılar için erişilemez hâle getirir. Virüs bulaşmış zombi bilgisayarlar vasıtasıyla ağın kullanılamaz hâle getirilmesi saldırgan için çok kolaydır. DDoS saldırıları, organizasyonları ve kişileri kendi amaçları doğrultusunda, saldırıyı durdurma karşılığında zorla ödeme yapmak için hedeflenir.
Dolandırıcılık ya da para çalma: Kredi kartı ve banka bilgilerinin doğrudan çalınması için özel olarak tasarlanmış botnetleri içerir. Bankacılık işlemlerine dair verileri elde edip bunları para çalmak için kullanır. Bir botnet finansal olarak saldırı amacıyla kodlanmış ve çok kısa süreler içinde birden fazla kuruluştan doğrudan çalınan milyonlarca doları içeren saldırılardan sorumlu olmuştur.
Hedef odaklı saldırı: Hedef olarak seçilen bir organizasyonun ağına daha fazla hücum edebilmek için tasarlanmış daha küçük botnetlerden oluşur. Saldırgan bu yaptığı müdahale ile ağın her birimine nüfuz eder. Saldırganlar özellikle finansal veriler, araştırma ve geliştirme, fikri mülkiyet ve müşteri bilgileri dâhil olmak üzere en değerli varlıklarını hedeflediğinden, bu izinsiz girişler kuruluşlar için son derece tehlikelidir.
Veri hırsızlığı: Kullanıcı verilerinin pazarda büyük bir değeri vardır ve bilgisayar korsanları, bireysel verileri çalmak veya bir işletmenin veri tabanına girmek için botnetlere yardım ederler. Daha sonra kullanıcı verilerini üçüncü şahıslara satarlar ve para kazanırlar. Bu tür botnetler uykuda kalır ve kişisel bilgileri çalar.
Botnetler farklı birçok amaç için kullanılır ve bunların hepsi yasa dışı değildir. Amerika'daki Berkeley Üniversitesi, iyi bir tür botnet istemcisi için kod hazırlamıştır. Bu botnet mümkün olduğu kadar çok kişisel bilgisayarın gönüllü olarak bağlanmasıyla oluşturulmuş ve çeşitli araştırma projeleri için IT maliyetlerini azaltmak amacıyla kullanılmaktadır. Örneğin, araştırmacılar uzayda akıllı yaşam aramak için böyle bir botnet kullanırlar.
Bilgisayarda botnetin varlığı nasıl anlaşılır?
Bilgisayarınıza zarar veren, bilgilerinize erişen ve sizi bir suç ağının parçası hâline getirebilecek botneti nasıl tespit edebilirsiniz? Bu kadar çok bilgisayar bir botnetin parçasıysa birinin parçası olup olmadığınızı nasıl anlarsınız? Botnetlerin her gün 60.000’den fazla bilgisayara ulaşıp zarar verdiği düşünüldüğünde botneti önlemek, tespit etmek çok önemli bir güvenlik konusudur. Botnetlerin erken tespiti, hasarı mümkün olduğunca aza indireceği için tehlike yönetiminde çok önemli bir rol oynar. Ancak, botnetler gözle görülür bir işlem gücü tüketmediğinden varlığını izlemek zorlu bir iştir. Bu, sisteminizde bir botnet olup olmadığını anlamanızı zorlaştırır.
Bazı durumlarda, internet bağlantısının yavaşlaması veya sürekli olarak baskı altında çökme tehdidi oluşturması, bir botnet istemcisinin varlığını ele verebilir. Kullanıcının veri kullanımında bir değişiklik söz konusu değilse yavaşlama bir uyarı sinyali olarak kabul edilmelidir. Ancak, diğer kötü amaçlı yazılımlar ya da bilgisayar donanımınızda oluşan bazı sıkıntılar da yavaş bir bağlantıdan sorumlu olabilir. Tek başına yavaşlık bilgisayarınızın böyle bir etki altında olduğunu göstermez.
İnternet hızının gösterge olabileceği bir durumu şu şekilde açıklamak mümkündür; bant genişliği tüketiminde ani bir artışa ve internet hızında ani bir düşüşe tanık olursanız, cihazınızda botnetin varlığı düşünülebilir. Bir botnet etkin olduğunda, spam e-postalar göndermek veya bir DDoS saldırısı gerçekleştirmek için bant genişliğini tüketir. Bu, aşırı bant genişliği tüketimine ve hızda önemli bir düşüşe neden olur.
Botnet ile ilgili en açık gösterge, virüs tarayıcısının uyarı vermesidir. Botnetlerin ve diğer birçok kötü amaçlı yazılımın varlığı kolayca ve zahmetsizce taranabilir. Hatta bazı üst düzey anti-virüs yazılımları özel bir botnet denetleyicisi ile birlikte kurulur.
Botnetin varlığı, sistem dosyalarında istenmeyen veya beklenmeyen değişikliklere yol açar. Belirli bir hesabın yapılandırmasının veya dosyanın erişim tercihinin herhangi bir müdahale olmaksızın değiştiğini düşünüyorsanız, bunun nedeni botnettir. Aynı zamanda botnetler, sistemin işletim sistemine bulaşacak ve işletim sistemi güncellemesinde bir engel oluşturacaktır. Görev yöneticisinde tanımlanamayan herhangi bir işlem fark ederseniz, bu durum botnet varlığına işaret eder.
Botnetler, kötü amaçlı yazılım saldırısı gerçekleştirildiği sürece belirli bir programı çalışmaya zorlar. Bu nedenle, bir programı kapatmaya çalıştığınızda herhangi bir sorunla karşılaşıyorsanız, bunun nedeni botnet olabilir.
Botnetleri sıradan insanların tespit etmesi zor olduğundan, yapılması gereken şey bilgisayarın çalışmasıyla alakalı içgüdüleri dinlemek yerine bu saldırıları önleme amaçlı yazılımlardan yardım almaktır.
Botnetten Korunma Yöntemleri
Botnet bilgisayarınıza zarar verirken kişisel bilgilerinizi de tehlike altına atar. Aynı zamanda kullandığınız bilgisayarı uzaktan komutlar vererek istediği şekilde yönlendirebilir. Düşünüldüğünde sadece bireysel bir etkisi olmayan güçlü bir zararlı yazılımdan bahsediyoruz. Tespit etmesi zordur ancak imkânsız da değildir. Peki, botnetten korunmak için neler yapılabilir?
İşletim sisteminizin güncel olması botnetten korunmak için önemli bir şeydir çünkü her yazılım güncellemesiyle beraber kullanıcılara tespit edilen güvenlik açıklarıyla başa çıkabilen yamalar sunulur.
Bilgisayarınıza bir şey indirmek istediğinizde, indirme işlemini yapacağınız kaynağın güvenli olduğundan emin olun. Bir şey indirmek için arama motorunda arama yaptığınızda, saldırı amaçlayan kişi kullanıcıyı cezbetmek için uğraşmaktadır ve kaynağını bilmediğiniz, bir programı ilgi çekici metni sayesinde indirebilir bu sebeple botnetten zarar görebilirsiniz.
Bilgisayarınıza indirecek olduğunuz kurulumların, dosyaların zararlı kaynaklardan gelenlerinin sorun yaratması gibi, şüpheli bağlantılar da kimlik avı saldırısı olabilir. Bu nedenle, yine kaynağını bilmediğiniz herhangi bir şüpheli bağlantıyı onaylamayın.
P2P indirmeleri, kötü amaçlı birçok ek içerdiğinden çok risklidir. Mümkünse, P2P indirmelerini kullanmayın.
Bilgisayarınıza yeni bir cihaz kurduğunuzda, oturum açma kimlik bilgilerini değiştirdiğinizden emin olun. Varsayılan parolaların kullanılması, botnet veya IoT botnet saldırılarını her zamankinden daha kolay hâle getirir.
Güçlü bir parola kullanmak, her türlü kötü amaçlı yazılım saldırısı olasılığını mümkün olduğunca az tutmak için doğru bir stratejidir. 2FA veya iki faktörlü kimlik doğrulama, botnet kötü amaçlı yazılımlarını cihazlarınızdan uzak tutar ve daha güvenli hâle getirir.
Güvenilir bir anti-virüs yazılımı, botnet kötü amaçlı yazılımının varlığını hemen tespit edecek ve sisteminize zarar vermeden ondan kurtulacaktır.
Güvenlik duvarı olmayan web siteleri, botnetler için bir merkez olabilir. Web sitesi güvenlik kriterleri hakkında daha fazla bilgi edinin ve şüpheli web sitelerinden uzak durun. Ayrıca güvenlik duvarı kullanmak, güvenli olmayan bağlantıyı otomatik olarak engellediği için botnet ve diğer kötü amaçlı yazılımlardan korunmanın kesin bir yoludur.
Berqnet Firewall gibi güvenilir bir güvenlik aracı botnet saldırılarının hedefi olmaktan sizi koruyacaktır. Berqnet Firewall cihazlarının temel görevi, internet bağlantısı yapan kullanıcıların güvenliklerini sağlamaktır. Bu araçla beraber, sistemin genel güvenliği tesis edilerek, botnetin erken tespiti sağlanır ve hasar en aza indirilir. Aynı zamanda dışarıdan gelecek tehlikeler bertaraf edilir ve içerideki kullanıcıların da internet üzerinde, zararlı olabilecek yerlere erişimleri engellenir. Firewall cihazlarının en önemli oldukları nokta trojan ve virüs gibi zararlı yazılımların ilk engellenme duvarı olmalarıdır.
Berqnet donanımsal firewall cihazıyla sistemin ağ trafiği kontrol edilir ve kayıt altına alınarak sistemin genel güvenliğini tek merkezden yönetmek mümkün hâle gelir. Firewall güvenlik alt yapısının kullanımıyla sistem güvenliği sağlanarak kaynakların en verimli şekilde kullanılır hâle getirilir.
*Bot herder: belirli ağ aralıklarını taramak ve mevcut güvenlik yamaları olmayan makineler gibi, bot programlarını yükleyecekleri savunmasız sistemleri bulmak için otomatik teknikler kullanan bilgisayar korsanlarıdır.
İşletmenizi ve İtibarınızı Berqnet ile Koruyun!
Tarihteki botnet saldırıları
En eski botnet programlarından bazıları Trojen, bir solucan olan Sub7 ve Pretty Park'tıdır. Bu programlar 1999'da IRC ağına ulaşarak orada kötü amaçlı komutları dinleyebilmeleri için kendilerini gizlice bilgisayarlara kurmayı amaçladı.
Bir sonraki dikkat çeken botnet programı GTbot’tu. 2000 yılında IRC ağında ortaya çıktı. Bu bot, ilk hizmet reddi saldırılarından bazılarını gerçekleştirebilen sahte bir mIRC istemci programıydı.
Takip eden yıllarda, siber suçlular, fidye yazılımı ve bilgi hırsızlığı gibi çeşitli saldırıları gerçekleştirmek için virüslü makineleri kullanarak, HTTP, SSL ve ICMP aracılığıyla bağlantı kurmaya başladılar.
Çok bilinen ilk botnet saldırısı, 2000 yılında Khan K. Smith tarafından oluşturulan bir spam göndericiydi. Bu botnetin bir yıldan biraz fazla sürede 1.25 milyondan çok spam e-posta gönderdiği biliniyor. Bilgisayara inen virüsler ile kişilerin kredi kartı bilgilerine ulaşıp bu bilgiler ile 3 milyon dolarlık bir vurgun yapmayı planlıyordu ancak ABD Atlanta merkezli bir internet sağlayıcısı firma tarafından 25 milyon dolarlık dava edilerek amacına ulaşamadı.
Storm ismiyle bilinen ve 2007 yılında ortaya çıkan botnet, birkaç farklı sunucu tarafından kontrol ediliyordu. 250.000 ila 1 milyon virüslü bilgisayarı etkilediği düşünülen ağ çok büyüktü. Dark webde kiralanarak, DDoS saldırılarından kimlik hırsızlığına kadar çok çeşitli suç faaliyetlerinde kullanıldı. Storm'un sunucularından bazıları 2008'de kapatıldı ve bugün etkin olmadığı düşünülüyor.
2009 yılında tespit edilen bir başka botnet de her dakika 51 milyon e-posta gönderiyordu ve o sırada tüm dünyadaki spam hacminin %46,5'i bu botnetten gönderiliyordu. Ortalama 1,5 milyon virüslü bilgisayardan oluştuğu için, onu etkisiz hâle getirme çabalarının hepsi sonuçsuz kaldı. 2014 yılında FBI, Europol ve diğer güvenlik kuvvetleri tarafından yapılan ortadan kaldırma girişiminden sonra bile bu botnet hâlâ aktif ve kiralanabilir durumdadır.
2009 yılından 2012 yılına kadar dünyadaki spam miktarının her gün %18’ini gönderebilecek büyüklükte bir başka botnet aktifti. Grum isimli botnet Hollanda’dan Panama’ya kadar çeşitli ülkelerde kontrol merkezlerine sahipti. 2012 yılında etkisiz hâle getirilen bu botnet farmasötikal konusunda uzmanlaşmıştı.
Kraken botneti çok uluslu bir şirketin tüm sisteminin %10'una bulaştığı ve 495.000 botun her birinin günde 600.000 e-posta gönderebileceği tahmin ediliyor. Öyle ki bu botneti uzun süre fark edilmez kılan bir özelliği de vardı. Otomatik olarak güncellendiğinde bile kötü amaçlı yazılımdan koruma yazılımı tarafından algılanmamasını sağlayan kaçınma tekniklerini kullanıyordu. Bu botnet bugün etkin değil ancak kalıntılarından tekrar ortaya çıkabileceği düşünülüyor.
2009 yılında ortaya çıkan başka bir botnet Mariposa ismi verilen İspanya kökenli bir botnetti. Finans alanındaki sektörleri hedef alıyor, kredi kartı bilgilerini kopyalıyor, bu sayede milyonlarca dolar hırsızlık yapabiliyordu. On milyon kadar bilgisayarı ele geçirmek için kötü amaçlı dijital reklamcılığı kullandı ve şu ana kadar keşfedilen en büyük ikinci botnet oldu. İspanyol güvenlik güçleri tarafından, ağı kiralayanlar dâhil tüm saldırganların tespit edilmesiyle ağın işleyişi durduruldu.
Online bir oyunda avantaj elde etmek isteyen üniversite öğrencileri tarafından kurulan Mirai isimli botnet 2016 yılında ABD’nin doğu kısmındaki internetin büyük çoğunluğunu kullanılamaz hâle getirdi. Mirai'yi en dikkate değer yapan şey, güvenli olmayan IoT cihazlarına bulaşan ilk büyük botnet olmasıydı. Botnet tarafından gönderilen solucanlar 600.000'den fazla cihaza bulaştı.
2021 yılında Amerika Birleşik Devletleri, Avustralya ve İngiltere'de siber güvenlik yetkilileri tarafından, küresel olarak kritik altyapı kuruluşlarına yönelik karmaşık, yüksek etkili botnet saldırılarında bir artış gözlemledi. Öyle ki İngiltere Ulusal Siber Güvenlik Merkezi (NCSC-UK) bu saldırıları karşı karşıya kaldığı en büyük siber tehdit olarak görüyor. Eğitim kurumları, ulusal güvenlik kurumları, sağlık hizmeti kurumları ve hayır kurumları bu saldırılardan en çok etkilenen kurumlar oldu (cisa.gov).
Sıkça Sorulan Sorular
Botlar ne yapmaya programlandırıldıysa ona göre iyi ya da kötü diye adlandırılabilir. Bazı yerlerde, maliyeti azaltmak ya da deneylerde kullanmak için iyi amaçlarla kullanılan botlar mevcuttur.
Bot, belirli bir görevi gerçekleştirmek için tasarlanmış otomatik bir yazılım programıdır.
Zombi bot, bilgisayar korsanlarının virüslü cihazları uzaktan kontrol etmesine izin veren kötü amaçlı bir programdır.
Bir bilgisayar korsanı veyahut dolandırıcı tarafından kontrol edilen bir zombi bot ağıdır.
Bilgisayar korsanları genellikle DDoS saldırıları yapmak, kimlik avı e-postaları göndermek veya şirketlere karşı sahtekârlık yapmak için botnetleri kullanır.
Bir botnet saldırısının finansal etkisi, saldırının boyutuna ve doğasına bağlı olarak değişebilir. Bazı şirketlerin bot saldırıları sebebiyle milyonlarca dolar kaybettiği bilinmektedir.
Robotik mühendisler, robot yapım sürecinin en çok ön planlamasında vakit harcarlar. İnsanların eylemlerini kopyalayan makineler tasarlar ve prototiplerini oluştururlar.
