Articles

Nuovo IoT botnet offre DDoSes di una volta inimmaginabili dimensioni per $20

Nuovo IoT botnet offre DDoSes di una volta inimmaginabili dimensioni per $20

Gli organizzatori di una nuova botnet composta di infetti home e small office router sono sfacciatamente di vendita di tipo denial-of-service attacchi di una volta impensabili volumi per soli $20 per ogni destinazione.

Facendosi chiamare Los Calvos de San Calvicie, il gruppo sta pubblicizzando diversi servizi su questo sito. Tra i servizi sono distribuiti attacchi denial-of-service da 290 a 300 gigabit al secondo per each 20 ciascuno. Mentre un terzo delle dimensioni di alcuni dei più grandi attacchi registrati, 290Gbps è ancora sufficiente per portare la maggior parte dei siti verso il basso a meno che non cercano servizi di mitigazione DDoS, che in molti casi costano notevoli somme di denaro. Solo cinque anni fa, 300Gbps era considerato un volume sufficiente per chiudere l’infrastruttura principale di Internet.

Los Calvos de San Calvicie membri sono stati avvistati assemblaggio di una botnet negli ultimi giorni che molto probabilmente ha la potenza di fuoco necessaria per fornire i potenti attacchi promessi. Secondo Pascal Geenens, ricercatore presso la società di sicurezza Radware, il gruppo sta costruendo la botnet sfruttando due vulnerabilità: una nei router RealTek che esauriscono il firmware obsoleto e l’altra nel router Huawei HG532, dove una patch rilasciata a dicembre deve ancora essere installata da molti utenti. Entrambe le vulnerabilità sono sfruttate anche da un diverso Internet-of-things botnet noto come Satori.

A differenza della maggior parte delle botnet IoT viste finora, quella tracciata da Geenens, che sta chiamando JenX, utilizza una manciata di server non IoT per scansionare Internet alla ricerca di dispositivi vulnerabili e, una volta trovata, per sfruttarli. Che rende molto più difficile stimare il numero di dispositivi infetti che compongono JenX, perché i router vulnerabili simulati Geenens utilizza nel suo laboratorio per monitorare la botnet vedere lo stesso numero limitato di server di attacco.

Al contrario, Mirai, Satori, Reaper e altre botnet IoT si affidano a dispositivi infetti per individuare e infettare i dispositivi vulnerabili. Ciò consente agli honeypot come Geenens di stimare la dimensione della botnet in base al numero di IP che eseguono la scansione. JenX prende il nome da “Jennifer”, il nome che gli sviluppatori di malware hanno dato al binario che infetta i dispositivi vulnerabili.

Devine Stream

Geenens ha detto che lo scopo principale della botnet è quello di attaccare le persone che giocano il gioco online Grand Theft Auto su alcuni server a pagamento. Che a sua volta può aumentare la domanda di gioco di hosting da sancalvicie.com. Questo è lo stesso dominio che ospita il server di comando e controllo JenX. Si pubblicizza come resistente ai tipi di attacchi che Mirai e JenX usano per abbattere gli host di gioco rivali. È anche lo stesso dominio che pubblicizza i servizi DDoS-for-hire, che sembrano essere un business collaterale all’hosting del gioco.

Il gruppo di lingua spagnola ha soprannominato il suo servizio DDoS Corriente Divina, che si traduce in “flusso divino.”Una traduzione inglese approssimativa della linea di tag del servizio è” L’ira di Dio sarà impiegata contro l’IP che ci fornisci.”

Scopri di più

Il gruppo offre source query engine flood e flood a 32 byte, che sono tipi di attacchi DDoS che sono particolarmente efficaci nel ridurre molti tipi di servizi di gioco multiplayer. Il servizio DDoS include anche un’opzione “Down OVH”, un probabile riferimento al provider di hosting con sede in Francia noto per ospitare server per giochi multi-player, incluso Minecraft. OVH era un bersaglio negli attacchi del 2016 condotti da botnet tra cui Mirai, che ha colpito il provider cloud con 1,1 terabit al secondo di traffico spazzatura, un record al momento. Ironia della sorte, negli ultimi giorni, il binario Jennifer consegnato ai router sfruttati è stato ospitato su un indirizzo IP appartenente a OVH, Geenens ha detto.

JenX è un esempio della seconda generazione di botnet IoT. Come Mirai, prede sul vasto numero di router non protetti, telecamere e altri dispositivi abilitati alla rete che popolano Internet. Quella fornitura dà alle botnet quantità formidabili di larghezza di banda distribuita che hanno la capacità collettiva di paralizzare ampie fasce di Internet. Una debolezza in Mirai, tuttavia, era la sua dipendenza da password predefinite per prendere il controllo dei dispositivi. Una volta che le password vengono modificate, sia dai produttori che dai proprietari dei dispositivi, Mirai diventa inefficace.

JenX, Satori, Reaper e altre botnet IoT di seconda generazione hanno aggirato questa limitazione sfruttando le vulnerabilità del firmware nei dispositivi connessi a Internet. Il meccanismo di infezione è potenzialmente molto più efficace perché la maggior parte dei dispositivi IoT esegue firmware basato su Linux che è generalmente obsoleto al momento della spedizione. Molti dispositivi non possono essere aggiornati affatto. Molti altri che possono essere aggiornati sono proibitivamente difficili da fare per la maggior parte delle persone. Ciò lascia le botnet IoT di seconda generazione con milioni di dispositivi da rilevare utilizzando exploit affidabili spesso disponibili online.

Pubblicità

JenX è diverso dalla maggior parte delle botnet IoT, perché, come accennato in precedenza, si basa su server centralizzati per cercare e sfruttare i dispositivi vulnerabili. Ciò significa che è probabile che il suo tasso di crescita rimanga costante. In una e-mail, Geenens ha scritto:

Il potenziale di questa botnet è paragonabile a Satori in quanto utilizza esattamente gli stessi exploit. Tuttavia, il tasso di crescita di questo bot non sarà alto come Satori perché Satori utilizza bot che ogni scansione e sfruttare da soli—quindi più bot, più scanner, più vittime, ancora più bot, ancora più scanner, ecc…. quindi tasso di crescita esponenziale per le botnet Mirai, Satori e Reaper. La botnet Jenx utilizza server per la scansione e lo sfruttamento dei dispositivi, quindi la crescita sarà inferiore a lineare. Aggiungendo più server possono farlo crescere più velocemente, ma non saranno mai efficienti e aggressivi come Mirai, Satori e Reaper.

Geenens ha pubblicato un rapporto completo delle sue ultime scoperte qui.

Nel momento in cui questo post stava andando in diretta, Geenens ha detto ad Ars che i team di abuso di Leaseweb Netherlands e Leaseweb Germany hanno eliminato alcuni dei server di exploit JenX che erano stati ospitati nei loro datacenter. Geenens ha detto che il server C&C rimane operativo, come fanno altri server exploit.

Pubblicità

“Questo sta solo inviando loro il messaggio che hanno bisogno di migliorare a nascondersi da noi”, ha scritto il ricercatore in una e-mail, riferendosi agli operatori di JenX. “Non è così facile da abbattere un gruppo di hacker qualificati-stanno imparando dai loro errori ora. Potrebbero portare la loro operazione al darknet, che è un altro vantaggio dell’utilizzo di server di exploit centralizzati.”