Articles

Nowy botnet IoT oferuje ddoses o raz niewyobrażalnych rozmiarach dla $20

Nowy botnet IoT oferuje DDoSes o raz niewyobrażalnych rozmiarach dla $20

Organizatorzy nowego botnetu składającego się z zainfekowanych routerów domowych i biurowych bezczelnie sprzedają ataki typu denial-of-service o niewyobrażalnych wolumenach za jedyne 20 USD za cel.

nazywając się Los Calvos de San Calvicie, Grupa reklamuje kilka usług na tej stronie. Wśród usług są rozproszone ataki typu denial-of-service od 290 do 300 gigabitów na sekundę za 20 USD każdy. Podczas gdy jedna trzecia wielkości niektórych z największych odnotowanych ataków, 290 Gbps nadal wystarcza, aby zniszczyć większość witryn, chyba że szukają usług łagodzenia DDoS, które w wielu przypadkach kosztują znaczne kwoty pieniędzy. Zaledwie pięć lat temu 300 GB / s uznano za wystarczającą objętość, aby zamknąć podstawową infrastrukturę Internetu.

członkowie Los Calvos de San Calvicie zostali zauważeni, że w ostatnich dniach montują botnet, który prawdopodobnie ma siłę ognia potrzebną do przeprowadzenia obiecanych silnych ataków. Według Pascala Geenensa, badacza w firmie Radware zajmującej się bezpieczeństwem, Grupa buduje botnet, wykorzystując dwie luki: jedną w routerach RealTek z nieaktualnym oprogramowaniem sprzętowym, a drugą w routerze Huawei HG532, gdzie łatka wydana w grudniu nie została jeszcze zainstalowana przez wielu użytkowników. Obie luki są również wykorzystywane przez inny botnet Internetu rzeczy znany jako Satori.

w przeciwieństwie do większości botnetów IoT widzianych do tej pory, ten śledzony przez Geenensa, który nazywa JenX, używa garstki na serwerach innych niż IoT do skanowania internetu w poszukiwaniu podatnych urządzeń i, po znalezieniu, do ich wykorzystania. To sprawia, że znacznie trudniej oszacować liczbę zainfekowanych urządzeń, które tworzą JenX, ponieważ symulowane podatne routery Geenens używa w swoim laboratorium do śledzenia botnetu zobaczyć tę samą ograniczoną liczbę serwerów ataku.

natomiast botnety Mirai, Satori, Reaper i inne IoT polegają na zainfekowanych urządzeniach, aby zlokalizować i zainfekować wrażliwe urządzenia. Dzięki temu honeypoty takie jak Geenens mogą oszacować rozmiar botnetu na podstawie liczby adresów IP wykonujących skanowanie. JenX bierze swoją nazwę od „Jennifer”, nazwy, którą Twórcy złośliwego oprogramowania nadali binarnemu, który infekuje wrażliwe urządzenia.

Devine Stream

Geenens powiedział, że głównym celem botnetu jest atakowanie osób grających w grę online Grand Theft Auto na niektórych serwerach pobierających opłaty. To z kolei może zwiększyć popyt na hosting gier przez sancalvicie.com. to ta sama domena hostująca Serwer jenx command-and-control. Reklamuje się jako odporny na rodzaje ataków, których Mirai i JenX używają do niszczenia rywali. Jest to również ta sama domena reklamująca usługi DDoS do wynajęcia, które wydają się być biznesem ubocznym hostingu gier.

hiszpańskojęzyczna Grupa nazwała swoją usługę DDoS Corriente Divina, co tłumaczy się jako ” boski strumień.”Szorstkie angielskie tłumaczenie hasła serwisowego brzmi:” gniew Boży zostanie zastosowany przeciwko IP, które nam podasz.”

Zobacz więcej

Grupa oferuje powodzie silników zapytań źródłowych i powodzie 32-bajtowe, które są typami ataków DDoS, które są szczególnie skuteczne w obniżaniu wielu rodzajów usług gier wieloosobowych. Usługa DDoS zawiera również opcję „Down OVH”, co prawdopodobnie odnosi się do francuskiego dostawcy hostingu, znanego z hostingu serwerów do gier wieloosobowych, w tym Minecrafta. OVH było celem ataków z 2016 r.prowadzonych przez botnety, w tym Mirai, które pobiły dostawcę chmury 1,1 terabitów na sekundę śmieciowego ruchu, co było rekordem w tym czasie. Jak na ironię, w ciągu ostatnich kilku dni binaria dostarczane do routerów były hostowane na adresie IP należącym do OVH-powiedział Geenens.

JenX jest przykładem drugiej generacji botnetów IoT. Podobnie jak Mirai, żeruje na ogromnej liczbie niezabezpieczonych routerów, kamer i innych urządzeń obsługujących sieć, które zaludniają Internet. Ta podaż daje botnetom ogromne ilości rozproszonej przepustowości, które mają wspólną zdolność do sparaliżowania dużych połaci Internetu. Jedną z wad Mirai było jednak poleganie na domyślnych hasłach, aby przejąć kontrolę nad urządzeniami. Po zmianie haseł-przez producentów lub właścicieli urządzeń-Mirai staje się nieskuteczne.

JenX, Satori, Reaper i inne botnety IoT drugiej generacji ominęły to ograniczenie, wykorzystując luki w oprogramowaniu sprzętowym w urządzeniach podłączonych do Internetu. Mechanizm infekcji jest potencjalnie znacznie bardziej skuteczny, ponieważ większość urządzeń IoT uruchamia oprogramowanie układowe oparte na Linuksie, które jest na ogół nieaktualne do czasu wysyłki. Wiele urządzeń nie może być w ogóle aktualizowanych. Wiele innych, które mogą być aktualizowane, jest zbyt trudnych do zrobienia dla większości ludzi. Pozostawia to botnety IoT drugiej generacji z milionami urządzeń do przejęcia za pomocą niezawodnych exploitów, które są często dostępne online.

Reklama

JenX różni się od większości botnetów IoT, ponieważ, jak wspomniano wcześniej, opiera się na scentralizowanych serwerach, aby wyszukiwać i wykorzystywać wrażliwe urządzenia. Oznacza to, że jego tempo wzrostu prawdopodobnie pozostanie stałe. W mailu Geenens napisał:

potencjał tego botnetu jest porównywalny z Satori, ponieważ wykorzystuje dokładnie te same exploity. Jednak tempo wzrostu tego bota nie będzie tak wysokie jak Satori, ponieważ Satori używa botów, które każdy skanuje i wykorzystuje samodzielnie-więc więcej botów, więcej skanerów, więcej ofiar, jeszcze więcej botów, jeszcze więcej skanerów itp…. wykładniczy wzrost botnetów Mirai, Satori i Reaper. JenX botnet wykorzystuje serwery do skanowania i wykorzystywania urządzeń, więc wzrost będzie mniejszy niż liniowy. Dodając więcej serwerów, mogą sprawić, że będzie się rozwijał szybciej, ale nigdy nie będzie tak wydajny i agresywny jak Mirai, Satori i Reaper.

Geenens opublikował pełny raport ze swoich najnowszych odkryć tutaj.

w czasie, gdy ten post był uruchomiony, Geenens powiedział Ars, że zespoły ds. nadużyć w Leaseweb Netherlands i Leaseweb Germany zdjęły niektóre serwery exploit JenX, które były hostowane w ich centrach danych. Geenens powiedział, że serwer C&C pozostaje sprawny, podobnie jak inne serwery exploit.

Reklama

„to tylko wysyłanie im wiadomości, że muszą lepiej się przed nami ukrywać” – napisał badacz w e-mailu, odnosząc się do operatorów JenX. „Nie jest łatwo pokonać wykwalifikowaną grupę hakerów-uczą się teraz na swoich błędach. Mogą przenieść swoją działalność na darknet, co jest kolejną zaletą korzystania ze scentralizowanych serwerów exploit.”