Articles

noul botnet IoT oferă DDoSes de dimensiuni o dată inimaginabile pentru $20

noul botnet IoT oferă DDoSes de dimensiuni odată inimaginabile pentru $20

organizatorii unui nou botnet format din routere infectate de acasă și de birouri mici vând cu nerușinare atacuri de refuz de serviciu de volume odată inimaginabile pentru doar 20 de dolari pe țintă.

numindu-se Los Calvos de San Calvicie, grupul face publicitate mai multor servicii pe acest site. Printre servicii se distribuie atacuri de refuz de serviciu de 290 până la 300 de gigabiți pe secundă pentru 20 de dolari fiecare. În timp ce o treime din dimensiunea unora dintre cele mai mari atacuri înregistrate, 290Gbps este încă suficient pentru a aduce majoritatea site-urilor în jos, cu excepția cazului în care caută servicii de atenuare DDoS, care în multe cazuri costă sume considerabile de bani. Doar cinci ani în urmă, 300gbps a fost considerat suficient de volum pentru a închide infrastructura de bază a Internetului.

membrii Los Calvos de San calvitie au fost văzuți asamblând o botnet în ultimele zile, care are foarte probabil puterea de foc necesară pentru a livra atacurile puternice promise. Potrivit lui Pascal Geenens, cercetător la firma de securitate Radware, grupul construiește botnetul exploatând două vulnerabilități: una în routerele RealTek care rulează firmware-ul depășit și cealaltă în routerul Huawei Hg532, unde un patch lansat în decembrie nu a fost încă instalat de mulți utilizatori. Ambele vulnerabilități sunt, de asemenea, exploatate de un alt botnet Internet-of-things cunoscut sub numele de Satori.

spre deosebire de majoritatea botnetelor IoT văzute până acum, cea urmărită de Geenens, pe care o numește JenX, folosește o mână pe serverele non-IoT pentru a scana internetul pentru dispozitive vulnerabile și, odată găsite, pentru a le exploata. Acest lucru face mult mai dificilă estimarea numărului de dispozitive infectate care alcătuiesc JenX, deoarece routerele vulnerabile simulate pe care Geenens le folosește în laboratorul său pentru a urmări botnetul văd același număr limitat de servere de atac.

în schimb, Mirai, Satori, Reaper și alte botnet-uri IoT se bazează pe dispozitive infectate pentru a localiza și infecta dispozitive vulnerabile. Acest lucru permite honeypots, cum ar fi Geenens, să estimeze dimensiunea botnetului pe baza numărului de IP-uri care fac scanarea. JenX își ia numele de la „Jennifer”, numele pe care dezvoltatorii de malware l-au dat binarului care infectează dispozitivele vulnerabile.

devine Stream

Geenens a spus că scopul principal al botnet-ului este de a ataca oamenii care joacă jocul online Grand Theft Auto pe anumite servere de încărcare a taxelor. Aceasta, la rândul său, poate crește cererea de găzduire de jocuri prin sancalvicie.com. acesta este același domeniu care găzduiește serverul de comandă și control JenX. Se face publicitate ca fiind rezistentă la tipurile de atacuri pe care Mirai și JenX le folosesc pentru a doborî gazdele de jocuri rivale. Este, de asemenea, același domeniu care face publicitate serviciilor DDoS-for-hire, care par a fi o afacere secundară pentru găzduirea Jocurilor.

grupul de limbă spaniolă și-a numit Serviciul DDoS Corriente Divina, care se traduce prin „flux divin.”O traducere aproximativă în limba engleză a liniei de etichete de serviciu este „mânia lui Dumnezeu va fi folosită împotriva IP-ului pe care ni-l furnizați.”

Vezi mai mult

Grupul oferă inundații ale motorului de interogare sursă și inundații de 32 de octeți, care sunt tipuri de atacuri DDoS care sunt deosebit de eficiente pentru a reduce multe tipuri de servicii de jocuri multiplayer. Serviciul DDoS include, de asemenea, o opțiune” Down OVH”, o referință probabilă la furnizorul de Găzduire din Franța, cunoscut pentru găzduirea serverelor pentru jocuri cu mai mulți jucători, inclusiv Minecraft. OVH a fost o țintă în atacurile din 2016 purtate de botnete, inclusiv Mirai, care a lovit furnizorul de cloud cu 1,1 terabiți pe secundă de trafic junk, un record la acea vreme. În mod ironic, în ultimele zile, binarul Jennifer livrat routerelor exploatate a fost găzduit pe o adresă IP aparținând OVH, a spus Geenens.

JenX este un exemplu al celei de-a doua generații de botnet-uri IoT. La fel ca Mirai, se prinde de numărul mare de routere, camere și alte dispozitive cu rețea care populează Internetul. Această ofertă oferă botnet-urilor cantități formidabile de lățime de bandă distribuită care au capacitatea colectivă de a paraliza porțiuni mari ale Internetului. Cu toate acestea, o slăbiciune în Mirai a fost dependența sa de parolele implicite pentru a prelua controlul dispozitivelor. Odată ce parolele sunt schimbate—fie de producători, fie de proprietarii de dispozitive-Mirai devine ineficient.

JenX, Satori, Reaper și alte botnet-uri IoT de a doua generație au depășit această limitare prin exploatarea vulnerabilităților firmware-ului în dispozitivele conectate la Internet. Mecanismul de infectare este potențial mult mai eficient, deoarece majoritatea dispozitivelor IoT rulează firmware bazat pe Linux, care este, în general, depășit până la momentul expedierii. Multe dispozitive nu pot fi actualizate deloc. Multe altele care pot fi actualizate sunt prohibitiv de dificile pentru majoritatea oamenilor. Acest lucru lasă botnet-urile IoT de a doua generație cu milioane de dispozitive pentru a prelua utilizarea exploatărilor fiabile care sunt adesea disponibile online.

publicitate

JenX este diferit de majoritatea botnet-urilor IoT, deoarece, așa cum am menționat mai devreme, se bazează pe servere centralizate pentru a căuta și exploata dispozitive vulnerabile. Aceasta înseamnă că rata sa de creștere este probabil să rămână constantă. Într-un e-mail, Geenens a scris:

potențialul pentru acest botnet este comparabil cu Satori, deoarece folosește exact aceleași exploatări. Cu toate acestea, rata de creștere a acestui bot nu va fi la fel de mare ca Satori, deoarece Satori folosește roboți pe care fiecare îi scanează și îi exploatează singuri—deci mai mulți roboți, mai multe scanere, mai multe victime, chiar mai mulți roboți, chiar mai multe scanere etc…. deci rata de creștere exponențială pentru botnetele Mirai, Satori și Reaper. Botnetul JenX folosește servere pentru dispozitivele de scanare și exploatare, astfel încât creșterea va fi mai mică decât liniară. Prin adăugarea mai multor servere, acestea pot face să crească mai repede, dar niciodată nu vor fi la fel de eficiente și agresive ca Mirai, Satori și Reaper.

Geenens a publicat aici un raport complet al ultimelor sale descoperiri.

în momentul în care acest post a fost lansat, Geenens a declarat pentru Ars că echipele de abuz de la Leaseweb Olanda și Leaseweb Germania au eliminat unele dintre serverele de exploatare JenX care au fost găzduite în centrele lor de date. Geenens a spus că serverul c&c rămâne operațional, la fel ca și alte servere de exploatare.

publicitate

„acest lucru le trimite doar mesajul că trebuie să se ascundă mai bine de noi”, a scris cercetătorul într-un e-mail, referindu-se la operatorii JenX. „Nu este atât de ușor să elimini un grup de hackeri pricepuți—ei învață din greșelile lor acum. S-ar putea să-și aducă operațiunea la darknet, care este un alt beneficiu al utilizării serverelor de exploatare centralizate.”