Výskumníci odhaľujú „ružový“ malvér botnetu, ktorý sa infikoval 1.6 Milión zariadení

Výskumníci v oblasti kybernetickej bezpečnosti zverejnili podrobnosti o tom, čo považujú za „najväčší botnet“ pozorovaný vo voľnej prírode za posledných šesť rokov, ktorý infikoval viac ako 1.6 miliónov zariadení primárne umiestnených v Číne, s cieľom spustiť distribuované útoky odmietnutia služby (DDoS) a vkladať reklamy na webové stránky HTTP navštevované nič netušiacimi používateľmi.

Bezpečnostný tím Netlab spoločnosti Qihoo 360 nazval botnet „ružový“ na základe vzorky získanej 21. novembra 2019 kvôli veľkému počtu názvov funkcií začínajúcich na „ružový“.

Botnet, ktorý sa zameriava hlavne na optické smerovače založené na MIPS, využíva kombináciu služieb tretích strán, ako je GitHub, siete peer-to-peer (P2P) a centrálne servery príkazov a riadenia (C2) pre komunikáciu medzi robotmi a kontrolórmi, nehovoriac o úplnom šifrovaní prenosových kanálov, aby sa zabránilo prevzatiu viktimizovaných zariadení.

“Pink pretekal s predajcom, aby si udržal kontrolu nad infikovanými zariadeniami, zatiaľ čo predajca sa opakovane pokúšal problém vyriešiť, robotický majster si všimol akciu predajcu aj v reálnom čase a zodpovedajúcim spôsobom vykonal viacero aktualizácií firmvéru na optických smerovačoch,” vedci. uviedol v analýze zverejnenej minulý týždeň po koordinovanej akcii, ktorú podnikol bližšie nešpecifikovaný predajca a čínsky technický tím/koordinačné centrum pre núdzovú reakciu počítačovej siete (CNCERT/CC).

Zaujímavé je, že Pink si tiež osvojila DNS-Over-HTTPS (DoH), protokol používaný na vykonávanie vzdialeného rozlíšenia systému doménových mien prostredníctvom protokolu HTTPS, aby sa pripojila k ovládaču špecifikovanému v konfiguračnom súbore, ktorý sa dodáva buď cez GitHub alebo Baidu. Tieba, alebo prostredníctvom vstavaného názvu domény pevne zakódovaného do niektorých vzoriek.

Viac ako 96 % zombie uzlov, ktoré sú súčasťou “super-veľkej siete botov”, sa nachádzalo v Číne, poznamenala v nezávislej správe pekinská spoločnosť NSFOCUS pre kybernetickú bezpečnosť, pričom aktér hrozby sa nabúral do zariadení, aby nainštaloval škodlivé programy. využitie zraniteľností zero-day v zariadeniach sieťových brán. Hoci značná časť infikovaných zariadení bola odvtedy opravená a obnovená do predchádzajúceho stavu k júlu 2020, botnet je stále aktívny a obsahuje približne 100 000 uzlov.

Keďže botnet do dnešného dňa spustil takmer 100 útokov DDoS, zistenia sú ďalším ukazovateľom toho, ako môžu botnety ponúknuť mocnú infraštruktúru zlým aktérom na vytváranie rôznych prienikov. “Zariadenia Internet of Things sa stali dôležitým cieľom pre organizácie čiernej produkcie a dokonca aj organizácie s pokročilými pretrvávajúcimi hrozbami (APT),” uviedli vedci z NSFOCUS. “Hoci Pink je najväčší botnet, aký bol kedy objavený, nikdy nebude posledný.”