Gorilla Botnet

Küberturvalisuse teadlased on tuvastanud uue botneti pahavara perekonna, mida tuntakse Gorilla (või GorillaBot) nime all ja mis põhineb Mirai Botneti avalikustatud lähtekoodil.

Seda tegevust jälgivate ekspertide sõnul täitis Gorilla botnet märkimisväärselt lühikese aja jooksul enam kui 300 000 ründekäsku, kusjuures 2024. aasta septembris oli rünnakute määr hämmastav. Keskmiselt andis botnet päevas välja umbes 20 000 käsku, mille eesmärk oli hõlbustada hajutatud keelamist. teenusepõhised (DDoS) rünnakud.

DDoS-i katsetega on sihitud üle 100 riigi

Teadaolevalt on botnet sihikule võtnud üle 100 riigi, algatades rünnakuid ülikoolide, valitsuste veebisaitide, telekommunikatsiooni, pankade, aga ka mängu- ja hasartmängutööstuse vastu. Enim mõjutatud riigid on Hiina, USA, Kanada ja Saksamaa.

Eksperdid näitavad, et Gorilla kasutab oma DDoS-rünnakute läbiviimiseks peamiselt selliseid meetodeid nagu UDP üleujutus, ACK BYPASS üleujutus, Valve Source Engine (VSE) üleujutus, SYN üleujutus ja ACK üleujutus. UDP-protokolli ühendusevaba olemus võimaldab suvalise allika IP-i võltsimist, mille tulemuseks on märkimisväärne liiklusmaht.

Lisaks mitme protsessori arhitektuuri (sh ARM, MIPS, x86_64 ja x86) toele on robotvõrk varustatud võimalusega DDoS-i käskude vastuvõtmiseks ühenduda ühega viiest eelnevalt määratletud Command-and-Control (C2) serverist.

Turvaaukude ja püsivusmehhanismi ärakasutamine

Märkimisväärse arenguna sisaldab pahavara funktsioone Apache Hadoop YARN RPC turvaauku ärakasutamiseks, võimaldades sellel saavutada koodi kaugkäivitamist. Seda konkreetset viga on looduses ära kasutatud vähemalt 2021. aastast.

Hostis püsimise tagamiseks loob pahavara kataloogis /etc/systemd/system/ teenusefaili nimega custom.service, mis on konfigureeritud süsteemi käivitamisel automaatselt käivituma. Selle teenuse ülesandeks on kaugserverist (pen.gorillafirewall.su) laadida alla ja käivitada kestaskript nimega lol.sh. Lisaks sisestatakse sarnased käsud failidesse /etc/inittab, /etc/profile ja /boot/bootcmd, et hõlbustada kestaskripti allalaadimist ja täitmist süsteemi käivitamisel või kasutaja sisselogimisel.

Pahavara tutvustab mitmesuguseid DDoS-i rünnakumeetodeid ja kasutab krüpteerimisalgoritme, mida Kekseci grupp tavaliselt kasutab kriitilise teabe varjamiseks. Samuti kasutab see mitmeid tehnikaid, et säilitada pikaajaline kontroll asjade Interneti-seadmete ja pilve hostide üle, peegeldades keerulist teadlikkust tekkivatele robotivõrkude perekondadele tüüpilistest vastutuvastusmeetmetest.

Mõned turbeuurijad viitavad sellele, et Gorilla Botneti pahavara ei ole täiesti uus, kuna see on olnud aktiivne juba üle aasta.