Gorilla Botnet

Výzkumníci v oblasti kybernetické bezpečnosti identifikovali novou rodinu botnetového malwaru známou jako Gorilla (nebo GorillaBot), který je založen na zveřejněném zdrojovém kódu Mirai Botnet .

Podle expertů sledujících tuto aktivitu provedl botnet Gorilla více než 300 000 útočných příkazů během pozoruhodně krátkého období, s ohromující mírou útoků v září 2024. V průměru botnet spouštěl kolem 20 000 příkazů denně, konkrétně zaměřených na usnadnění distribuovaného odmítnutí. of-service (DDoS) útoky.

Více než 100 zemí, na které se zaměřují pokusy o DDoS

Botnet se údajně zaměřil na více než 100 zemí a zahájil útoky proti univerzitám, vládním webům, telekomunikacím, bankám a také hernímu a hazardnímu průmyslu. Mezi nejvíce postižené země patří Čína, Spojené státy americké, Kanada a Německo.

Odborníci uvádějí, že Gorilla k provádění svých DDoS útoků primárně využívá metody jako UDP flood, ACK BYPASS flood, Valve Source Engine (VSE), SYN flood a ACK flood. Bezspojová povaha protokolu UDP umožňuje falšování libovolného zdroje IP, což má za následek značný objem provozu.

Kromě podpory pro více architektur CPU, včetně ARM, MIPS, x86_64 a x86, je botnet vybaven možností připojení k jednomu z pěti předdefinovaných serverů Command-and-Control (C2) pro příjem příkazů DDoS.

Využívání zranitelností a mechanismu perzistence

V pozoruhodném vývoji obsahuje malware funkce pro zneužití bezpečnostní zranitelnosti v Apache Hadoop YARN RPC, což mu umožňuje dosáhnout vzdáleného spuštění kódu. Tato konkrétní chyba je ve volné přírodě využívána minimálně od roku 2021.

Aby byla zajištěna trvalost na hostiteli, malware vytvoří soubor služby s názvem custom.service v adresáři /etc/systemd/system/, který je nakonfigurován tak, aby se spouštěl automaticky při startu systému. Tato služba má za úkol stáhnout a spustit skript shellu s názvem lol.sh ze vzdáleného serveru (pen.gorillafirewall.su). Kromě toho jsou podobné příkazy vloženy do souborů /etc/inittab, /etc/profile a /boot/bootcmd, aby se usnadnilo stahování a provádění skriptu shellu při spuštění systému nebo přihlášení uživatele.

Malware představuje různé metody útoku DDoS a využívá šifrovací algoritmy běžně používané skupinou Keksec k zakrytí kritických informací. Využívá také několik technik k udržení dlouhodobé kontroly nad zařízeními IoT a cloudovými hostiteli, což odráží sofistikované povědomí o opatřeních proti detekci typických pro vznikající rodiny botnetů.

Někteří bezpečnostní výzkumníci naznačují, že malware Gorilla Botnet není zcela nový, protože je aktivní již více než rok.