Gorilla Botnet

Οι ερευνητές στον τομέα της κυβερνοασφάλειας εντόπισαν μια νέα οικογένεια κακόβουλου λογισμικού botnet γνωστής ως Gorilla (ή GorillaBot), η οποία βασίζεται στον αποκαλυπτόμενο πηγαίο κώδικα του Mirai Botnet .

Σύμφωνα με τους ειδικούς που παρακολουθούν αυτή τη δραστηριότητα, το botnet Gorilla εκτέλεσε περισσότερες από 300.000 εντολές επίθεσης μέσα σε εξαιρετικά σύντομο χρονικό διάστημα, με εκπληκτικό ποσοστό επίθεσης τον Σεπτέμβριο του 2024. Κατά μέσο όρο, το botnet εκτόξευε περίπου 20.000 εντολές καθημερινά, ειδικά με στόχο τη διευκόλυνση της κατανεμημένης άρνησης- επιθέσεις υπηρεσίας (DDoS).

Πάνω από 100 χώρες στοχευμένες από προσπάθειες DDoS

Το botnet αναφέρεται ότι έχει στοχεύσει πάνω από 100 χώρες, εξαπολύοντας επιθέσεις εναντίον πανεπιστημίων, κυβερνητικών ιστοσελίδων, τηλεπικοινωνιών, τραπεζών, καθώς και των βιομηχανιών τυχερών παιχνιδιών και τυχερών παιχνιδιών. Οι χώρες που έχουν πληγεί περισσότερο περιλαμβάνουν την Κίνα, τις Ηνωμένες Πολιτείες, τον Καναδά και τη Γερμανία.

Οι ειδικοί αναφέρουν ότι ο Gorilla χρησιμοποιεί κυρίως μεθόδους όπως πλημμύρα UDP, πλημμύρα ACK BYPASS, πλημμύρα κινητήρα πηγής βαλβίδων (VSE), πλημμύρα SYN και πλημμύρα ACK για να πραγματοποιήσει τις επιθέσεις DDoS του. Η φύση χωρίς σύνδεση του πρωτοκόλλου UDP επιτρέπει την πλαστογράφηση IP αυθαίρετης πηγής, με αποτέλεσμα σημαντικό όγκο κίνησης.

Εκτός από την υποστήριξή του για πολλαπλές αρχιτεκτονικές CPU, συμπεριλαμβανομένων των ARM, MIPS, x86_64 και x86, το botnet είναι εξοπλισμένο με τη δυνατότητα σύνδεσης σε έναν από τους πέντε προκαθορισμένους διακομιστές Command-and-Control (C2) για λήψη εντολών DDoS.

Αξιοποίηση τρωτών σημείων και μηχανισμός εμμονής

Σε μια αξιοσημείωτη εξέλιξη, το κακόβουλο λογισμικό ενσωματώνει λειτουργίες για την εκμετάλλευση μιας ευπάθειας ασφαλείας στο Apache Hadoop YARN RPC, επιτρέποντάς του να επιτύχει απομακρυσμένη εκτέλεση κώδικα. Αυτό το συγκεκριμένο ελάττωμα έχει χρησιμοποιηθεί στη φύση τουλάχιστον από το 2021.

Για να διασφαλιστεί η επιμονή στον κεντρικό υπολογιστή, το κακόβουλο λογισμικό δημιουργεί ένα αρχείο υπηρεσίας με το όνομα custom.service στον κατάλογο /etc/systemd/system/, το οποίο έχει ρυθμιστεί να εκτελείται αυτόματα κατά την εκκίνηση του συστήματος. Αυτή η υπηρεσία έχει ως αποστολή τη λήψη και την εκτέλεση ενός σεναρίου φλοιού που ονομάζεται lol.sh από έναν απομακρυσμένο διακομιστή (pen.gorillafirewall.su). Επιπλέον, παρόμοιες εντολές εισάγονται στα αρχεία /etc/inittab, /etc/profile και /boot/bootcmd για να διευκολυνθεί η λήψη και η εκτέλεση του σεναρίου του φλοιού κατά την εκκίνηση του συστήματος ή την είσοδο του χρήστη.

Το κακόβουλο λογισμικό εισάγει μια ποικιλία μεθόδων επίθεσης DDoS και χρησιμοποιεί αλγόριθμους κρυπτογράφησης που χρησιμοποιούνται συνήθως από την ομάδα Keksec για την απόκρυψη κρίσιμων πληροφοριών. Χρησιμοποιεί επίσης πολλαπλές τεχνικές για τη διατήρηση του μακροπρόθεσμου ελέγχου των συσκευών IoT και των κεντρικών υπολογιστών cloud, αντικατοπτρίζοντας μια εξελιγμένη επίγνωση των μέτρων αντιανίχνευσης τυπικά των αναδυόμενων οικογενειών botnet.

Ορισμένοι ερευνητές ασφάλειας προτείνουν ότι το κακόβουλο λογισμικό Gorilla Botnet δεν είναι εντελώς νέο, καθώς είναι ενεργό για περισσότερο από ένα χρόνο.