Gorilla Botnet

Kyberturvallisuustutkijat ovat tunnistaneet uuden botnet-haittaohjelmaperheen, joka tunnetaan nimellä Gorilla (tai GorillaBot), joka perustuu Mirai Botnetin julkistettuun lähdekoodiin.

Tätä toimintaa valvovien asiantuntijoiden mukaan Gorilla-botnet suoritti yli 300 000 hyökkäyskäskyä huomattavan lyhyessä ajassa, ja hyökkäysnopeus oli hämmästyttävä syyskuussa 2024. Bottiverkko käynnisti keskimäärin noin 20 000 komentoa päivittäin, joiden tarkoituksena oli erityisesti helpottaa hajautettua estoa. DDoS-hyökkäykset.

Yli 100 DDoS-yritysten kohteena olevaa maata

Bottiverkon on raportoitu olleen kohteena yli 100 maahan, ja se on hyökännyt yliopistoja, valtion verkkosivustoja, televiestintää, pankkeja sekä peli- ja uhkapeliteollisuutta vastaan. Eniten kärsineitä maita ovat Kiina, Yhdysvallat, Kanada ja Saksa.

Asiantuntijat osoittavat, että Gorilla käyttää ensisijaisesti sellaisia menetelmiä kuin UDP-tulva, ACK BYPASS -tulva, Valve Source Engine (VSE) -tulva, SYN-tulva ja ACK-tulva suorittaakseen DDoS-hyökkäyksensä. UDP-protokollan yhteydetön luonne mahdollistaa mielivaltaisen lähteen IP-huijauksen, mikä johtaa merkittävään määrään liikennettä.

Sen lisäksi, että se tukee useita CPU-arkkitehtuureja, mukaan lukien ARM, MIPS, x86_64 ja x86, botnet on varustettu kyvyllä muodostaa yhteys yhteen viidestä ennalta määritetystä Command-and-Control (C2) -palvelimesta DDoS-komentojen vastaanottamiseksi.

Haavoittuvuuksien ja pysyvyysmekanismin hyödyntäminen

Merkittävä kehitys on, että haittaohjelma sisältää toimintoja, jotka hyödyntävät Apache Hadoop YARN RPC:n tietoturva-aukkoja, mikä mahdollistaa koodin etäsuorittamisen. Tätä erityistä puutetta on hyödynnetty luonnossa ainakin vuodesta 2021 lähtien.

Varmistaakseen pysyvyyden isännässä haittaohjelma luo /etc/systemd/system/-hakemistoon palvelutiedoston nimeltä custom.service, joka on määritetty toimimaan automaattisesti järjestelmän käynnistyksen yhteydessä. Tämän palvelun tehtävänä on ladata ja suorittaa shell-skripti nimeltä lol.sh etäpalvelimelta (pen.gorillafirewall.su). Lisäksi samanlaiset komennot lisätään /etc/inittab-, /etc/profile- ja /boot/bootcmd-tiedostoihin helpottamaan komentotulkkikomentosarjan lataamista ja suorittamista järjestelmän käynnistyksen tai käyttäjän kirjautumisen yhteydessä.

Haittaohjelma esittelee erilaisia DDoS-hyökkäysmenetelmiä ja käyttää Keksec-ryhmän yleisesti käyttämiä salausalgoritmeja kriittisten tietojen peittämiseen. Se hyödyntää myös useita tekniikoita IoT-laitteiden ja pilvipalvelimien pitkän aikavälin hallinnan ylläpitämiseksi, mikä heijastaa kehittynyttä tietoisuutta vastahavaitsemistoimenpiteistä, jotka ovat tyypillisiä nouseville botnet-perheille.

Jotkut tietoturvatutkijat ehdottavat, että Gorilla Botnet -haittaohjelma ei ole täysin uusi, sillä se on ollut aktiivinen yli vuoden.