Binnen het bedrijfsmodel voor botnets

Botnets zijn schimmige netwerken van computers die worden bestuurd door verborgen actoren en gekoppeld zijn aan alles wat slecht is op internet. Ze zijn betrokken bij gedistribueerde denial-of-service-aanvallen, spamcampagnes, klikfraude en bankfraude, om maar een paar van de smerigste vormen van cybercriminaliteit te noemen. Het is duidelijk dat ergens iemand een fortuin verdient met het bedenken van dit soort criminele activiteiten.





Maar hoeveel geld genereren botnets precies en wat is het bedrijfsmodel dat dit soort activiteiten ondersteunt?

Vandaag krijgen we een soort antwoord dankzij het werk van C.G.J. Putman aan de Universiteit Twente in Nederland en een paar collega's. Het is niet verwonderlijk dat het primaire motief voor het gebruik van botnets het economisch gewin is, zeggen ze als ze de kosten en inkomstenstromen in kaart brengen.

Een botnet is in wezen een netwerk van computers, smartphones of intelligente apparaten die kunnen worden beheerd door een ongeautoriseerde aanvaller. Het netwerk wordt gecreëerd door elk apparaat te infecteren met malware die via standaard netwerkgebaseerde protocollen communiceert met de controller en de andere apparaten. De controller kan vervolgens de apparaten binnen het botnet op verschillende snode manieren manipuleren.



Natuurlijk zijn er aanzienlijke kosten verbonden aan het opzetten van een dergelijk systeem. De eerste is het onderzoek en de ontwikkeling die nodig zijn om mazen in besturingssystemen te vinden en vervolgens code te schrijven die deze kan exploiteren.

Dit is een zeer specialistische taak. Putnam en co suggereren dat voor het plannen en uitvoeren van een botnet dat in staat is om de internetinfrastructuur op nationale of internationale schaal aan te vallen, een aanzienlijk aantal experts nodig zou zijn, waaronder kwetsbaarheidsanalisten, exploitontwikkelaars, testers en managers - misschien vele honderden in het geval van een botnet dat is opgezet om de VS aan te vallen. Zo'n systeem zou ongeveer twee jaar nodig hebben om te plannen en uit te voeren.

Zodra de malware is ontwikkeld, moet deze worden verspreid. Interessant is dat veel van de vereiste services eenvoudig online kunnen worden gekocht. Zo kunnen potentiële botnetmasters gebruik maken van pay-per-installation-diensten om het netwerk op te zetten. Deze zijn te koop op het dark web, tegen een vast bedrag van 2 tot 10 cent per apparaat voor het installeren van de malware.



Deze service is waarschijnlijk afhankelijk van bestaande botnets, waardoor computers die geïnfecteerd raken met het ene type malware, vaak al snel worden overspoeld met andere typen.

Sommige webhosting-operators bieden ook een bulletproof-service aan, wat in wezen een vorm van gegevensopslag zonder vragen is die klanten aanzienlijke speelruimte geeft bij wat ze doen. Dat zou zeker handig zijn voor potentiële botmasters.

Dan zijn er nog de kosten voor het onderhouden van het netwerk als het eenmaal tot stand is gebracht. De malware wordt in een bepaald tempo van apparaten verwijderd, misschien omdat het besturingssysteem is gepatcht of omdat er anti-malware is uitgebracht om het te bestrijden. Op minder geavanceerde apparaten, zoals camera's met internettoegang, kan de malware worden verwijderd door opnieuw op te starten.



Dus de botmaster moet deze uitputting bestrijden door machines in een vergelijkbaar tempo opnieuw te infecteren. Dat kan net zo eenvoudig zijn als het controleren van IP-adressen en het opnieuw infecteren van degenen die niet reageren, in het geval van eenvoudige apparaten. Maar het kan aanzienlijk ingewikkelder zijn als de malware code-updates vereist wanneer patches worden vrijgegeven.

Dat kan duur zijn. De kosten voor herinfectie worden geschat op $ 0,0935 per apparaat, zeggen Putman en co.

Dat alles leidt tot een ruwe schatting van de kosten van het opzetten van een botnet op nationale of internationale schaal. Voor een botnet dat is gekoppeld aan 10 miljoen apparaten, schatten Putnam en co een kostprijs in de buurt van $ 16 miljoen. Voor kleinere netwerken kan het natuurlijk aanzienlijk minder zijn.



Dit soort uitgaven lijkt enorm, maar valt in het niet bij de aangeboden beloningen. Putman en co bestuderen vier verschillende bedrijfsmodellen om te zien hoeveel inkomsten een botnet kan genereren. Dit zijn gedistribueerde denial-of-service-aanvallen, spamadvertenties, bankfraude en klikfraude.

Het team zegt dat gedistribueerde denial-of-service-aanvallen met een netwerk van 30.000 bots ongeveer $ 26.000 per maand kunnen genereren. Spamreclame met 10.000 bots genereert ongeveer $ 300.000 per maand, en bankfraude met 30.000 bots kan meer dan $ 18 miljoen per maand opleveren. Maar de meest winstgevende onderneming is klikfraude, die meer dan $ 20 miljoen winst per maand genereert.

De botmaster kan deze activiteit direct uitvoeren of het netwerk verhuren aan anderen, die vervolgens het leeuwendeel van de winst (en vermoedelijk het risico) nemen.

Dat zijn buitengewone cijfers. Botnets zijn duidelijk een enorm winstgevende onderneming voor degenen die succesvol zijn.

Er zijn echter aanzienlijke risico's. Het meest voor de hand liggende is misschien wel het risico om gepakt en vervolgd te worden. Veel, maar niet alle, van de hier beschreven activiteiten zijn in veel delen van de wereld illegaal.

Aan de andere kant verwijzen Putman en co naar ten minste één werk dat suggereert dat overheidsinstanties tot de belangrijkste klanten van dit soort netwerken behoren. Het is dus niet altijd in het belang van een land om botnets uit de lucht te halen.

Er is nog een probleem. Wanneer botnets goed werken, verdienen ze uiteraard aanzienlijke bedragen. Maar Putman en co zeggen dat er enige suggestie is dat bepaalde soorten activiteiten meer kosten dan aan inkomsten kunnen worden goedgemaakt. Gedistribueerde denial-of-service-aanvallen zijn het minst winstgevend en de onderhoudskosten van een botnet kunnen soms hoger zijn dan de inkomsten die hiermee worden gegenereerd.

Botmasters hebben dus niet alles hun zin. Het runnen van dit soort malwarenetwerk maakt misschien niet gelukkig, maar het kan zeker de vorm van ellende betalen die de meeste mensen zouden prefereren.

Referentie: arxiv.org/abs/1804.10848 : Bedrijfsmodel van een botnet

zich verstoppen