Vad är egentligen ett botnät och varför kan vi inte stoppa dem? Det har vår amerikanska systertidning CSO tittat på. 

Kraften i ett botnät som består av tusentals eller miljontals datorer och uppkopplade enheter som någon hackat och tagit kontroll över är enorm. Ett vapen som ger fördel för de cyberskurkar eller stater som vill skaka om sin motståndare.

Det kan användas till överbelastningsattacker, till att pumpa ut mängder av spam, stjäla inloggningsuppgifter eller spionera.

Botnät skalas också snabbt upp – när en enhet i ett nät infekteras så löper också alla andra sårbara enheter i det nätet risk att tas över.

En del botnät är så framgångsrika i sin illasinnade verksamhet att vi får ögonen på dem och ge dem namn, som Mirai som förra året slog ut stora delar av internet bland annat stora sajter som Twitter, Spotify och Amazon, ryska banker och hela Liberia.

Mirai utnyttjade internet of things som inte säkrats ordentligt och infekterade uppkopplade kameror som sedan användes för att attackera servrarna hos dns-leverantören Dyn.

Så vad hände sen? Blev det en väckarklocka för industrin, tillverkarna, lagstiftarna, telekomföretagen och internetleverantörerna som såg till att tillsammans isolera de infekterade enheterna, säkra dem och se till att ett botnät som Mirai aldrig mer kan byggas upp?

Nej, knappast. Inget hände och botnäten fortsätter breda ut sig. Enligt en internetsäkerhetsrapport som Akamai nyligen släppte så blir botnäten i stället allt smartare. Exempelvis använder de något som kallas Fast Flux DNS som innebär att de kan byta dns-information så snabbt att den som försöker försvara sig har svårt att hänga med och lyckas spåra dem.

Läs också: Det förödande botnätet Mirai är tillbaka – igen

Och faktum är att inte heller Mirai är borta utan fortfarande dyker upp med jämna mellanrum.

Säkerhetsföretaget Checkpoint har under hösten upptäckt botnätet Reaper som infekterar olika uppkopplade enheter snabbare än Mirai och har potential att sänka hela internet när det börjar jobba på allvar. Redan tidigare i höst hade det infekterat över en miljon enheter.

Medan Mirai siktade in sig på enheter som hade förprogrammerade inloggningsuppgifter men Reaper använder sig av åtminstone nio olika sårbarheter i uppkopplade enheter från ett dussintal olika tillverkare – bland annat D-link, Netgear och Linksys.

Dålig säkerhet och snabb spridning

Den enorma tillgången på uppkopplade enheter som inte är säkra, det omöjliga i att stänga ute infekterade prylar från internet och svårigheter med att spåra dem som skapar botnäten – ja, det är utmaningar som gör det närapå omöjligt att stoppa.

Konsumenter letar inte i första hand efter säkerhet utan efter tittar på vilka funktioner som finns, märken de känner igen och framför allt pris. Försäljningen accelererar snabbt, enligt Gartner har 8,4 miljarder uppkopplade enheter sålts i slutet av detta år och 2020 rör det sig om 20,4 miljarder. Och i samma takt som vi fortsätter köpa billiga osäkra prylar så får botnäten bara fler vägar att ta sig in och mer att kontrollera.

– De är så billiga så att det är låg sannolikhet att det finns en underhållsplan eller snabba uppdateringar, säger Ryan Spanier, forskningsansvarig på Kudelski Security, till CSO.

Läs också: Topplista: här är de 10 största riskerna på webben

Tillverkarna har heller inte mycket till incitament att säkra sina produkter även om det

– Men det började förändras i förra året. Den amerikanska regeringen har bötfällt några tillverkare, säger han.

Ett exempel är D-link som stämdes för att man sålde routrar och ip-kameror fulla med välkända sårbarheter som går att förebygga, exempelvis förprogrammerade inloggningsuppgifter. Men några månader senare avfärdade en amerikansk domare hälften av statens krav eftersom de inte pekade ut specifika tillfällen där kunder kommit till skada.

Väldigt svåra att spåra

Botnät kontrolleras oftast av en central kommandoserver så i teorin skulle man kunna ta ner den och sedan följa trafiken tillbaka till alla infekterade enheter och säkra dem. Men det är lättare sagt än gjort.

När botnäten är så stora så de påverkar internet kan internetleverantörer slå sig samman för att försöka förstå vad som är på gång och stoppa trafiken. Så gjorde man när det gällde Mirai enligt Ryan Spanier.

– Men när det är mindre, mer som spam, så har jag inte märkt att internetleverantörerna ansträngt sig så mycket.

Läs också: Investeringar i cybersäkerhet spikrakt uppåt – omsätter miljarder

En del varnar hemmaanvändare men det sker i så liten skala att det inte påverkar botnätet.

– Det är också väldigt svårt att spåra botnättrafik. Just Mirai var enkelt beroende på det sätt som det spred sig och säkerhetsexperter var snabba att utbyta information.

En del säkerhetsföretag arbetar med leverantörerna av infrastruktur för att identifiera de drabbade enheterna. Det kan handla om miljontals enheter och någon måste ge sig ut och patcha dem eftersom det ofta inte finns någon möjlighet att göra det på distans.

– Det är en stor utmaning att klara det, säger Adam Meyers, informationschef på Crowdstrike.

Så finns det enheter som inte längre har support och andra som är byggda så att de inte ens går att patcha. Och eftersom de fortfarande funkar är ägarna heller inte särskilt motiverade att kasta ut dem och köpa nya.

Användarna själva vet sällan om att de drabbats och att deras uppkopplade prylar ingår i ett botnät.

– Användarna har ingen säkerhetsfunktion för att övervaka botnätsaktivitet på sina privata nät, säger Chris Morales, ansvarig för säkerhetsanalys på Vectra Networks.

Företag har visserligen bättre verktyg men prioriterar inte direkt frågan.

– Säkerhetsavdelningarna prioriterar attacker mot den egna verksamheten snarare än attacker som går från deras eget nät mot mål utanför verksamheten, säger han.

Men ibland lyckas det

Ändå har det gått lite framåt när det gäller förmågan att stänga ner botnät och gripa dem som ligger bakom enligt Adam Meyers.

Bland annat greps hackaren bakom spambotnäten Waledac och Kelihos förra våren.

Han greps när han var på semester i Spanien i en koordinerad aktion mellan det amerikanska justitiedepartementet, FBI och spansk polis.

Och ett samarbete mellan brottsbekämpande myndigheter, säkerhetsföretaget Eset och Microsoft resulterade nyligen i att 464 botnät togs ner under en vecka, de var kopplade till 1 214 kommandocentraler och 80 olika virusfamiljer. En person i Vitryssland greps.

Enligt Eset hade den specifika gruppen funnits sedan 2011 och sålt färdiga botnäts-kit med namn som på internets mörka bakgård, dark web. De här botnäten med namn som Andromeda, Gamarue och Wauchos har infekterat över en miljon system i månaden.

Det här är sådant som tar tid konstaterar säkerhetsexperten Jean-Ian Boutin på Eset. Redan 2015 påbörjades arbetet med att få ner dem. Men även om han tror att alla nuvarande Andromedanät tagits ner så kan vi få se dem igen.

– Eftersom de här botnäts-kiten säljs i hemliga forum så kan någon annan dra igång ett nytt Andromedanät från scratch.

Ett problem är också att så många av hjärnorna bakom näten fortfarande går fria.

På önskelistan för alla botnätsbekämpare står skapandet av en global organisation mot cyberbrott men också standardkrav som tillverkarna måste följa. Krav som åtminstone skapar en miniminivå av säkerhet och som omfattar tillverkare i alla länder.