Articles

nový IoT botnet nabízí Ddózy kdysi nepředstavitelných velikostí pro $20

nový IoT botnet nabízí Ddózy kdysi nepředstavitelných velikostí pro $20

organizátoři nového botnetu složeného z infikovaných domácích a malých kancelářských směrovačů bezostyšně prodávají útoky odmítnutí služby kdysi nepředstavitelných objemů za pouhých 20 dolarů na cíl.

nazývá se Los Calvos de San Calvicie, skupina inzeruje několik služeb na tomto webu. Mezi služby jsou distribuovány útoky odmítnutí služby 290 až 300 gigabitů za sekundu za 20$. Zatímco třetina velikosti některých z největších zaznamenaných útoků, 290Gbps je stále dost, aby většina webů snížila, pokud nehledají služby zmírňování DDoS, což v mnoha případech stojí značné množství peněz. Jen před pěti lety bylo 300 Gbps považováno za dostatečný objem k vypnutí základní infrastruktury internetu.

členové Los Calvos de San Calvicie byli v posledních dnech spatřeni při sestavování botnetu, který má velmi pravděpodobně palebnou sílu potřebnou k provedení slibovaných silných útoků. Podle Pascala Geenense, výzkumného pracovníka bezpečnostní firmy Radware, skupina buduje botnet využíváním dvou zranitelností: jedna v routerech RealTek, které mají zastaralý firmware, a druhá v routeru Huawei HG532, kde mnoho uživatelů ještě musí nainstalovat opravu vydanou v prosinci. Obě zranitelnosti jsou také využívány jiným internetovým botnetem známým jako Satori.

na rozdíl od většiny dosud viděných botnetů IoT používá ten, který sleduje Geenens, kterému říká JenX, hrst na serverech jiných než IoT, aby skenoval internet pro zranitelná zařízení a jakmile je našel, využil je. Díky tomu je mnohem těžší odhadnout počet infikovaných zařízení, která tvoří JenX, protože simulované zranitelné směrovače, které Geenens používá ve své laboratoři ke sledování botnetu, vidí stejný omezený počet útočných serverů.

naproti tomu Mirai, Satori, Reaper a další botnety IoT spoléhají na infikovaná zařízení, aby lokalizovali a infikovali zranitelná zařízení. To umožňuje honeypotům, jako je Geenens‘, odhadnout velikost botnetu na základě počtu IP adres provádějících skenování. JenX dostane své jméno od „Jennifer“, jméno, které vývojáři malwaru dali binárce, která infikuje zranitelná zařízení.

Devine Stream

Geenens uvedl, že hlavním účelem botnetu je zaútočit na lidi hrající online hru Grand Theft Auto na určitých serverech s poplatkem. To zase může zvýšit poptávku po hostování her sancalvicie.com. to je stejná doména hostující server JenX command-and-control. Inzeruje se jako odolný vůči typům útoků, které Mirai a JenX používají ke svržení soupeřících herních hostitelů. Je to také stejná doména inzerující služby DDoS-for-hire, které se zdají být vedlejším obchodem hostingu her.

španělsky mluvící skupina nazvala svou službu DDoS Corriente Divina, což znamená “ božský proud.“Hrubý anglický překlad řádku servisních značek je“ Boží hněv bude použit proti IP, které nám poskytnete.“

Zobrazit více

skupina nabízí záplavy zdrojových dotazů a povodně 32 bajtů, což jsou typy útoků DDoS, které jsou zvláště účinné při snižování mnoha typů herních služeb pro více hráčů. Služba DDoS zahrnuje také možnost „Down OVH“, pravděpodobný odkaz na poskytovatele hostingu se sídlem ve Francii, který je známý pro hostování serverů pro hry pro více hráčů, včetně Minecraft. OVH byl cílem útoků v roce 2016, které vedly botnety včetně Mirai, které bušily do poskytovatele cloudu s 1, 1 terabitů za sekundu nevyžádaného provozu, což byl v té době rekord. Je ironií, že v posledních několika dnech byl binární kód Jennifer doručený využívaným směrovačům hostován na IP adrese patřící OVH, uvedl Geenens.

JenX je příkladem druhé generace botnetů IoT. Stejně jako Mirai se živí obrovským množstvím nezabezpečených směrovačů, kamer a dalších síťových zařízení, která naplňují Internet. Tato nabídka dává botnetům ohromné množství distribuované šířky pásma, které mají kolektivní schopnost ochromit velké řádky internetu. Jednou slabinou Mirai však bylo spoléhání se na výchozí hesla, aby převzali kontrolu nad zařízeními. Jakmile jsou hesla změněna-výrobci nebo majitelé zařízení-Mirai se stává neúčinným.

JenX, Satori, Reaper a další botnety IoT druhé generace se dostaly kolem tohoto omezení tím, že využily zranitelnosti firmwaru v zařízeních připojených k internetu. Mechanismus infekce je potenciálně mnohem účinnější, protože většina zařízení IoT provozuje firmware založený na Linuxu, který je v době odeslání obecně zastaralý. Mnoho zařízení nelze aktualizovat vůbec. Mnoho dalších, které lze aktualizovat, je pro většinu lidí neúnosně obtížné. To ponechává botnety IoT druhé generace s miliony zařízení k převzetí pomocí spolehlivých exploitů, které jsou často dostupné online.

reklama

JenX se liší od většiny botnetů IoT, protože, jak již bylo zmíněno, spoléhá na centralizované servery, aby vyhledávaly a využívaly zranitelná zařízení. To znamená, že jeho tempo růstu pravděpodobně zůstane konstantní. V e-mailu, Geenens napsal:

potenciál tohoto botnetu je srovnatelný se Satori, protože používá přesně stejné exploity. Tempo růstu tohoto robota však nebude tak vysoké jako Satori, protože Satori používá roboty, které každý skenuje a využívá sám—takže více robotů, více skenerů, více obětí, ještě více robotů, ještě více skenerů atd….. takže exponenciální tempo růstu botnetů Mirai, Satori a Reaper. Botnet JenX používá servery pro skenování a využívání zařízení, takže růst bude menší než lineární. Přidáním dalších serverů mohou růst rychleji, ale nikdy nebudou tak efektivní a agresivní jako Mirai, Satori a Reaper.

Geenens zveřejnil úplnou zprávu o svých nejnovějších poznatcích zde.

v době, kdy byl tento příspěvek spuštěn, Geenens řekl Ars, že týmy zneužívání v Leaseweb Netherlands a Leaseweb Germany odstranily některé servery JenX exploit, které byly hostovány v jejich datových centrech. Geenens uvedl, že server C&C zůstává funkční, stejně jako ostatní exploitové servery.

reklama

„to jim pouze posílá zprávu, že se musí lépe skrývat před námi,“ napsal výzkumník v e-mailu s odkazem na operátory JenX. „Není tak snadné sundat kvalifikovanou hackerskou skupinu-nyní se učí ze svých chyb. Mohli by přenést svou činnost na darknet, což je další výhoda používání centralizovaných exploitových serverů.“