Menu

Botnet

Co je botnet?

Pojmem botnet označujeme síť kompromitovaných zařízení připojených k internetu, která jsou vzdáleně a bez vědomí jejich skutečných majitelů ovládána útočníkem.

Název vznikl spojením anglických slov „robot“ a „network“ (síť). Tato zařízení, označovaná jako „boti“ nebo „zombies“, jsou infikována škodlivým softwarem umožňujícím útočníkovi koordinovaně řídit jejich činnost prostřednictvím centrálního systému příkazů a kontroly (command and control, C&C nebo také C2). 

Každé kompromitované zařízení funguje jako samostatný prvek (často označovaný jako node – uzel) v rozsáhlejší síti, přičemž útočník může současně koordinovat činnost tisíců až milionů takových zařízení. Botnety představují jednu z nejnebezpečnějších forem kybernetických hrozeb současnosti, protože umožňují relativně malému počtu útočníků mobilizovat obrovské množství výpočetních zdrojů pro široké spektrum škodlivých aktivit. 

Historický vývoj botnetů 

Už v roce 1972 Gregory Yob naprogramoval logickou hru Hunt the Wumpus, která posloužila jako stavební kámen pro koncept automatizovaných programů na síti. Dalším klíčovým milníkem byl vznik protokolu IRC (Internet Relay Chat) v roce 1988, který poskytl první platformu pro vzdálené ovládání síťových programů.  

První skutečné botnety se objevily na počátku nového tisíciletí jako evoluce počítačových červů a virů. Zatímco klasické viry byly primárně destruktivní, cílem nově vznikajících škodlivých kódů bylo nepozorovaně se šířit a vytvářet trvalé spojení s ovládajícím centrem. Jedním z prvních významných botnetů byl Bagle z roku 2004, který infikoval více než 200 000 počítačů a byl odpovědný za více než 10 procent veškerého spamu na světě. 

V období mezi lety 2005 až 2010 došlo k dramatickému rozšíření botnetů. Botnety, jako byl například Storm, který infikoval odhadem dva miliony počítačů, nebo Conficker, který napadl až jedenáct milionů zařízení, demonstrovaly devastující potenciál těchto síťových hrozeb. Právě v této době se začaly botnety transformovat z experimentálních projektů na sofistikované nástroje organizované kyberkriminality. 

Významným mezníkem se stal botnet Mirai, který v roce 2016 cílil na zařízení internetu věcí (IoT) a způsobil masivní výpadky služeb včetně Twitteru, Netflixu a dalších populárních platforem. Tento incident ukázal, jak zranitelná jsou nedostatečně zabezpečená chytrá zařízení a jak rychle může narůst množství zařízení zapojených v botnetu kvůli používání standardních přihlašovacích údajů. 

Technická architektura botnetů 

Architektura botnetů prošla několika významnými evolučními fázemi, kdy každá další generace přinesla sofistikovanější metody řízení a komunikace. 

  • Model klient–server je tradiční botnetová architektura, kdy všechna infikovaná zařízení komunikují s jedním nebo několika centrálními C&C servery. Tyto servery distribuují instrukce všem připojeným botům a například z nich sbírají odcizená data. Centralizovaný přístup umožňuje útočníkům efektivně koordinovat činnost celé sítě z jediného místa, ale současně vytváří jediný bod selhání, který může být identifikován a neutralizován. 
  • IRC botnety řídí infikované klienty prostřednictvím předem určeného IRC serveru a vstupují do kanálu určeného pro komunikaci s ovládacím centrem. Útočník posílá příkazy do tohoto kanálu prostřednictvím IRC serveru a ten je pak předává všem připojeným botům. Výsledky svých akcí poté boti zasílají zpět do IRC kanálu a informují útočníka o stavu provedených úkolů. 
  • Decentralizované sítě peer-to-peer botnetů vznikly v reakci na úspěšné zlikvidování mnoha centralizovaných botnetů. V tomto modelu funguje každý bot současně jako klient i jako server, který může distribuovat příkazy dalším zařízením v síti. Tato architektura eliminuje problém jediného bodu selhání, protože neexistuje centrální server, jehož vypnutí by paralyzovalo celou síť. Peer-to-peer botnety často využívají kryptografické podpisy k ověření pravosti příkazů, což zajišťuje, že síť může ovládat pouze útočník s přístupem k soukromému klíči. Příkladem takového řešení byl botnet Gameover Zeus, který kombinoval pokročilé šifrovací technologie s decentralizovanou komunikační infrastrukturou, a byl proto mimořádně odolný vůči pokusům o neutralizaci. 
  • Hybridní přístup znamená kombinaci centralizovaných a decentralizovaných architektur do nejnovější generace botnetů. Hybridní systémy mohou využívat centrální servery pro základní koordinaci, zatímco při kritických operacích spoléhají na peer-to-peer komunikaci. Některé pokročilé botnety dokonce implementují více redundantních komunikačních kanálů, což jim umožňuje udržet kontrolu i v případě, že je část infrastruktury odhalena a odpojena. 

Volba architektury botnetů závisí také na typu zařízení, která mají být do škodlivé sítě zapojena – na jejich výkonu, datové propustnosti a dalších vlastnostech. 

Způsoby infikování botů 

Úspěšné vytvoření rozsáhlého botnetu vyžaduje masové infikování zařízení škodlivým softwarem. Útočníci k tomuto účelu používají různé metody, které často kombinují softwarové zranitelnosti a další technické aspekty s prvky sociálního inženýrství. 

  • Zneužití bezpečnostních zranitelností v operačních systémech a aplikacích je jednou z nejúčinnějších metod šíření botnetového malwaru. Útočníci aktivně vyhledávají systémy, které nebyly aktualizovány nejnovějšími bezpečnostními záplatami, a využívají dostupné exploity k získání neoprávněného přístupu. Tento přístup je velmi efektivní u domácích uživatelů a menších organizací, které často zanedbávají pravidelné aktualizace svých systémů. Zvláště problematické jsou zero-day exploity, tedy útoky využívající dosud neznámé bezpečnostní chyby, proti nimž neexistuje obrana. Sofistikované botnetové kampaně občas využívají takové exploity k infikování vysoce chráněných systémů a jejich objevení a neutralizace mohou trvat měsíce nebo i roky. 
  • Phishing a sociální inženýrství stojí na počátku významné části botnetových kampaní. Podvodné zprávy předstírající legitimní komunikaci od důvěryhodných institucí mohou obsahovat škodlivé přílohy nebo odkazy na kompromitované webové stránky, které automaticky stahují a instalují malware do systému návštěvníka. 
  • Kompromitované webové stránky jsou další významnou cestou k šíření tzv. drive-by download malwaru (škodlivého softwaru automaticky staženého při návštěvě kompromitované webové stránky). Útočníci infiltrují legitimní webové servery a vkládají do nich škodlivý kód, který se aktivuje při načtení stránky v prohlížeči návštěvníka. Tento typ útoku je obzvláště nebezpečný, protože nevyžaduje žádnou aktivní spolupráci oběti. 

S masivním rozšířením chytrých zařízení se botnety začaly specializovat na infikování slabě zabezpečených zařízení IoT. Mnoho těchto zařízení používá standardní nebo snadno zjistitelná hesla a zřídka dostávají bezpečnostní aktualizace. Účinnost tohoto přístupu demonstroval botnet Mirai, který systematicky skenoval internet a pokoušel se přihlásit k zařízením pomocí databáze výchozích přihlašovacích údajů. 

Typy botnetových útoků 

Botnety představují univerzální platformu umožňující široké spektrum škodlivých aktivit. Jejich síla spočívá v možnosti koordinovat činnost obrovského množství zařízení k dosažení společného cíle. Tím může být: 

  • Útok typu DDoS (Distributed Denial of Service) představuje nejčastější způsob využití botnetů, které koordinovaně zahltí cílové servery nebo síťovou infrastrukturu obrovským množstvím požadavků. Vzhledem k distribuované povaze útoku je navíc mimořádně obtížné takový provoz odfiltrovat od legitimního provozu. Úspěšný DDoS útok dokáže cílovou službu vyřadit z provozu na hodiny nebo i dny, což může mít devastující ekonomické dopady. Moderní DDoS útoky navíc často kombinují různé techniky současně. Útočníci mohou simultánně zahltit šířku pásma, vyčerpat kapacitu serverů a zablokovat síťovou infrastrukturu. Takovým vícevrstvým útokům je mimořádně obtížné zabránit a vyžadují sofistikovaná protiopatření na několika úrovních síťové architektury. 
  • Nelegální finanční operace jsou dalším z hlavních cílů botnetových útoků. Specializované varianty botnetů jako Zeus a Gameover Zeus byly navrženy přímo za účelem krádeží bankovních a přihlašovacích údajů. Tyto botnety využívají pokročilé techniky útoků (například man-in-the-browser), které umožňují útočníkům v reálném čase modifikovat obsah bankovních webových stránek a obcházet vícefaktorovou autentifikaci. Odcizené informace jsou následně zločineckými skupinami využívány k provádění neoprávněných převodů financí. 
  • Distribuce škodlivého obsahu představuje využití botnetů jako efektivní sítě pro šíření malwaru a dalšího nežádoucího obsahu. Masivní spamové kampaně využívají infikovaná zařízení k rozesílání milionů podvodných zpráv a vyhýbají se tak tradičním antispamovým opatřením založeným na hodnocení reputace odesílatelů. Každé zařízení v botnetu může denně rozeslat tisíce zpráv, což útočníkům umožňuje dosáhnout obrovského dosahu při minimálních nákladech. Kromě tradičního spamu distribuují botnety také sofistikovanější formy škodlivého obsahu včetně ransomwaru, špionážního softwaru a dalších typů malwaru. Distribuované šíření komplikuje identifikaci původního zdroje útoku, a tedy i úsilí o jeho neutralizaci. 
  • Těžba kryptoměn je relativně novým způsobem zneužití celých sítí počítačů, serverů a dalších zařízení připojených k internetu. Tento typ útoku, označovaný jako cryptojacking, může probíhat relativně nenápadně po dlouhou dobu, neboť nevykazuje žádnou zjevnou škodlivou aktivitu. Infikovaná zařízení pouze spotřebovávají více elektrické energie a mají sníženou výkonnost. Těžební botnety často cílí na servery a výkonné pracovní stanice, které disponují dostatečnými výpočetními zdroji pro efektivní těžbu. Organizované skupiny provozující takové botnety mohou generovat značné příjmy z neoprávněně vytěžených kryptoměn, zatímco náklady na elektrickou energii a opotřebení hardwaru nesou oběti útoků. 

Útočníci zneužívají skutečnosti, že součástí botnetu se může stát prakticky jakékoli zařízení připojené k internetu, a k útokům tak může docházet dlouhou dobu zcela nepozorovaně.  

Významné případy botnetů 

Botnety představují zásadní hrozbu opravdu rozsáhlých kybernetických útoků, jakých byla v nedávné historii zaznamenána celá řada.  

  • Stuxnet, odhalený v roce 2010, představuje zásadně odlišný typ škodlivého softwaru, který překročil hranice mezi běžným malwarem a státní kybernetickou zbraní. Tento sofistikovaný červ byl specificky navržen k útoku na průmyslové řídicí systémy společnosti Siemens používané v íránském jaderném programu. Stuxnet využíval hned čtyř zero-day zranitelností současně, šířil se prostřednictvím USB flash disků a po penetraci do cílových systémů vyhledával specifické konfigurace programovatelných logických ovladačů používaných k řízení odstředivek na obohacování uranu. Po nalezení cílových systémů Stuxnet zmanipuloval jejich provoz tak, aby způsobil fyzické poškození zařízení, zatímco operátorům zobrazoval běžné provozní údaje. Nasazení botnetu Stuxnet v Íránu představuje první zdokumentovaný případ úspěšného využití kybernetického útoku k fyzickému poškození průmyslové infrastruktury. Stuxnet zničil přibližně tisíc íránských odstředivek a významně zpozdil postup jaderného programu. 
  • Conficker, poprvé objevený na konci roku 2008, se rychle stal jedním z nejrozsáhlejších a nejodolnějších botnetů v historii internetu. Na svém vrcholu infikoval odhadem jedenáct milionů počítačů po celém světě a překonal tak svým rozsahem a sofistikovaností všechny předchozí botnetové kampaně. Conficker se šířil prostřednictvím síťových sdílení a infikovaných USB flash disků a zneužíval bezpečnostní zranitelnosti v operačním systému Windows. Unikátní na tomto botnetu byla jeho schopnost průběžně se aktualizovat a přizpůsobovat novým bezpečnostním opatřením. Malware dokázal blokovat přístup k bezpečnostním webovým stránkám, bránit stahování aktualizací a implementovat pokročilé techniky pro skrytí své přítomnosti. Náklady na odstranění Confickeru z infikovaných zařízení byly odhadnuty na devět miliard dolarů. 
  • Zeus a Gameover Zeus – trojský kůň Zeus, vytvořený Jevgenijem Bogačevem a poprvé identifikovaný v roce 2007, začal novou éru specializovaného bankovního malwaru. Zeus implementoval pokročilé techniky pro odcizení bankovních údajů včetně keyloggerů zachytávajících klávesové vstupy a komponent, které dokázaly v reálném čase modifikovat obsah bankovních webových stránek v prohlížeči oběti. Tyto techniky umožňovaly obcházet vícefaktorovou autentifikaci a získat kompletní kontrolu nad bankovními účty obětí. Gameover Zeus se objevil v roce 2011 jako evoluce malwaru Zeus. Tato varianta implementovala decentralizovanou peer-to-peer architekturu, s níž byl botnet výrazně odolnější vůči pokusům o neutralizaci. Botnet byl zodpovědný za finanční škody přesahující sto milionů dolarů a infikoval odhadem až milion počítačů po celém světě. V roce 2014 proběhla mezinárodní akce vedená FBI, nazvaná operace Tovar, která úspěšně neutralizovala síť botnetů Gameover Zeus. Za necelé dva měsíce poté se však objevila nová varianta označovaná jako newGOZ, která sdílela devadesát procent kódu s původní verzí, ale postrádala peer-to-peer funkčnost. 
  • Mirai, botnet objevený v srpnu 2016, je významný svým primárním zaměřením na zařízení internetu věcí. Místo tradičních počítačů cílil Mirai na IP kamery, domácí routery, digitální videorekordéry a další chytrá zařízení. Tento malware systematicky skenoval internet a pokoušel se přihlásit k zařízením pomocí databáze šedesáti standardních kombinací uživatelských jmen a hesel. Vzhledem k tomu, že mnoho uživatelů výchozí přihlašovací údaje svých zařízení nikdy nezměnilo, byl tento postup mimořádně úspěšný. Největší pozornost si Mirai získal 21. října 2016, kdy provedl masivní DDoS útok na společnost Dyn, poskytující kriticky důležité DNS služby. Tento útok dočasně vyřadil z provozu významné internetové služby včetně Twitteru, Netflixu, Redditu a dalších. Útok jasně ukázal zranitelnost infrastruktury internetu věcí vůči botnetovým útokům. Tvůrci malwaru Mirai se navíc rozhodli zveřejnit jeho zdrojový kód, což vedlo k rychlému vzniku mnoha jeho variant. 

Zatím poslední velký případ botnetu byl zaznamenán v roce 2025 a nese název Eleven11bot. Tento botnet infikoval přes 86 tisíc zařízení internetu věcí a způsobil rekordně velké DDoS útoky, které dosáhly až 6,5 Tb/s. 

Detekce a obrana před botnety 

Kvůli jejich distribuované povaze a zneužívání často ještě neošetřených zranitelností je obrana před útoky botnetů velmi náročná. K základním opatřením patří:  

  • Monitorování sítě a analýza provozu s cílem identifikovat neobvyklé vzorce komunikace je základem úspěšné detekce botnetů. Botnetová komunikace často vykazuje charakteristické znaky, jako jsou pravidelné kontakty s podezřelými servery, neobvyklé objemy dat přenášených v netypických časech nebo komunikace využívající nestandardní protokoly a porty. Moderní detekční systémy využívají pokročilé algoritmy strojového učení schopné identifikovat anomálie v síťovém provozu, které mohou souviset s aktivitou botnetu. Tyto systémy analyzují metadata komunikace, frekvenci spojení, geografické rozložení cílových serverů a další charakteristiky, jež mohou odhalit přítomnost infikovaných zařízení v síti. 
  • Vyhledávání škodlivého softwaru na základě signatur známého malwaru zůstává základním pilířem ochrany, přestože sofistikované botnety často využívají polymorfní techniky k obcházení tradičních detekčních metod. Pokročilá antivirová řešení implementují behaviorální analýzu, která sleduje chování spuštěných programů a identifikuje podezřelé aktivity charakteristické pro botnetový malware. Technologie sandboxingu umožňují bezpečně analyzovat podezřelé soubory v izolovaném prostředí, kde lze pozorovat jejich chování bez rizika infikování produkčních systémů. 
  • Reputační systémy využívají rozsáhlé databáze reputačních informací o IP adresách, doménových jménech a hash hodnotách souborů spojených se známou botnetovou aktivitou. Tyto systémy umožňují blokovat komunikaci s identifikovanými řídicími servery a bránit stahování známého malwaru. 
  • Sledování informací o hrozbách (Threat Intelligence) poskytuje aktuální informace o vznikajících botnetových kampaních, nových taktikách útočníků a indikátorech kompromitace, které pomáhají organizacím proaktivně upravovat vlastní obranné strategie. 

Nejúčinnější ochranou proti botnetovým infekcím zůstává prevence založená na správné konfiguraci systémů a odpovědném chování uživatelů. Pravidelná instalace bezpečnostních aktualizací pomáhá ošetřit známé zranitelnosti, které botnety často zneužívají pro počáteční infiltraci. Implementace principu nejmenších oprávnění omezuje poškození, které může způsobit úspěšná infekce. Uživatelské účty by měly disponovat pouze minimálními právy nezbytnými pro vykonávání jejich pracovních úkolů, což může zabránit malwaru v získání administrativních práv potřebných pro hlubokou infiltraci systému. 

Kritickým prvkem obrany je také vzdělávání uživatelů o rizicích phishingu a sociálního inženýrství, protože na počátku mnoha botnetových kampaní stojí aktivity málo ostražitých obětí. Proto by zaměstnanci měli být pravidelně informováni o aktuálních technikách útočníků a školeni v rozpoznávání podezřelé komunikace. 

Další vývoj botnetů 

Sofistikovanost a adaptabilitu botnetů na bezpečnostní opatření může zásadně zvýšit zapojení technologie umělé inteligence (AI) do botnetové infrastruktury. Botnety řízené AI by mohly autonomně vyvíjet nové útoky, přizpůsobovat se obranným opatřením a optimalizovat své strategie na základě analýzy dat o cílových systémech. 

Pokrok v oblasti AI ale současně rozvíjí možnosti detekce a neutralizace botnetových hrozeb. Algoritmy strojového učení (ML), schopné analyzovat obrovské objemy síťových dat v reálném čase, mohou identifikovat jinými způsoby neodhalitelné vzorce charakteristické pro botnetovou aktivitu. 

Obrovský prostor pro útoky botnetů představuje exponenciální růst množství k internetu připojených zařízení IoT. Předpovědi naznačují, že do roku 2030 jich bude připojeno více než 75 miliard, z nichž mnoho bude pravděpodobně trpět slabým zabezpečením. S ohledem na značné riziko kyberútoků se ale zlepšuje i zabezpečení zařízení IoT, ať už na úrovni hardwaru, nebo v podobě automatických aktualizací jejich softwaru. 

Techniky útočníků i obránců může zásadním způsobem změnit nástup kvantových počítačů. Kvantové algoritmy mohou prolomit současné kryptografické metody a ohrozit tak šifrovanou komunikaci mezi zařízeními. Kvantově odolná kryptografie ale umožňuje vytvořit chráněné komunikační kanály a významně tím zkomplikovat provoz botnetů založených na skryté komunikaci. 

Botnety mohou být také stále častěji využívány v mezinárodních konfliktech, jestliže budou státem podporované botnetové operace sloužit pro špionáž, sabotáž kritické infrastruktury nebo ovlivňování veřejného mínění v cizích zemích. 

Vzhledem k neustále se vyvíjející povaze botnetů musí být obranné strategie stejně dynamické a adaptabilní jako útoky, které mají odrazit. 

Přehledy a statistiky kyber hrozeb

Více o ooo2 Security

0 mil.

POČET HROZEB ZA ROK 2022

0 mil.

POČET HROZEB ZA ROK 2023
  • 289 čer
  • 99 Srp
  • 273 Zář
  • 227 říj
  • 247 Lis
  • 253 Pro
  • 256 Led
  • 226 úno
  • 403 Bře
  • 379 Dub
  • 455 Kvě
  • 442 čer
455 228 0
POČTY KYBER HROZEB ZA POSLEDNÍCH 12 MĚSÍCŮ V MILIONECH