गोरिल्ला बॉटनेट

साइबर सुरक्षा शोधकर्ताओं ने गोरिल्ला (या गोरिल्लाबॉट) के रूप में ज्ञात बॉटनेट मैलवेयर के एक नए परिवार की पहचान की है, जो मिराई बॉटनेट के प्रकट स्रोत कोड पर आधारित है।

इस गतिविधि की निगरानी करने वाले विशेषज्ञों के अनुसार, गोरिल्ला बॉटनेट ने सितंबर 2024 में आश्चर्यजनक हमले की दर के साथ, उल्लेखनीय रूप से कम अवधि के भीतर 300,000 से अधिक हमले आदेशों को निष्पादित किया। औसतन, बॉटनेट ने प्रतिदिन लगभग 20,000 आदेश लॉन्च किए, जिनका उद्देश्य विशेष रूप से वितरित इनकार-सेवा (DDoS) हमलों को सुविधाजनक बनाना था।

100 से अधिक देश DDoS प्रयासों के निशाने पर

बताया जा रहा है कि बॉटनेट ने 100 से ज़्यादा देशों को निशाना बनाया है, विश्वविद्यालयों, सरकारी वेबसाइटों, दूरसंचार, बैंकों, साथ ही गेमिंग और जुआ उद्योगों पर हमले किए हैं। सबसे ज़्यादा प्रभावित देशों में चीन, संयुक्त राज्य अमेरिका, कनाडा और जर्मनी शामिल हैं।

विशेषज्ञ बताते हैं कि गोरिल्ला मुख्य रूप से अपने DDoS हमलों को अंजाम देने के लिए UDP फ्लड, ACK BYPASS फ्लड, वाल्व सोर्स इंजन (VSE) फ्लड, SYN फ्लड और ACK फ्लड जैसे तरीकों का इस्तेमाल करता है। UDP प्रोटोकॉल की कनेक्शन रहित प्रकृति मनमाने स्रोत IP स्पूफिंग को सक्षम बनाती है, जिसके परिणामस्वरूप ट्रैफ़िक की महत्वपूर्ण मात्रा होती है।

ARM, MIPS, x86_64, और x86 सहित कई CPU आर्किटेक्चर के लिए इसके समर्थन के अलावा, बॉटनेट DDoS कमांड प्राप्त करने के लिए पांच पूर्वनिर्धारित कमांड-एंड-कंट्रोल (C2) सर्वरों में से एक से कनेक्ट करने की क्षमता से लैस है।

कमजोरियों और दृढ़ता तंत्र का दोहन

उल्लेखनीय विकास में, मैलवेयर अपाचे हडूप YARN RPC में सुरक्षा भेद्यता का फायदा उठाने के लिए फ़ंक्शन को शामिल करता है, जिससे इसे रिमोट कोड निष्पादन प्राप्त करने की अनुमति मिलती है। इस विशेष दोष का कम से कम 2021 से जंगली में शोषण किया जा रहा है।

होस्ट पर निरंतरता सुनिश्चित करने के लिए, मैलवेयर /etc/systemd/system/ निर्देशिका में custom.service नामक एक सेवा फ़ाइल बनाता है, जिसे सिस्टम स्टार्टअप पर स्वचालित रूप से चलाने के लिए कॉन्फ़िगर किया गया है। इस सेवा को दूरस्थ सर्वर (pen.gorillafirewall.su) से lol.sh नामक शेल स्क्रिप्ट को डाउनलोड करने और निष्पादित करने का काम सौंपा गया है। इसके अतिरिक्त, सिस्टम स्टार्टअप या उपयोगकर्ता लॉगिन पर शेल स्क्रिप्ट को डाउनलोड करने और निष्पादित करने की सुविधा के लिए /etc/inittab, /etc/profile, और /boot/bootcmd फ़ाइलों में समान कमांड डाले जाते हैं।

मैलवेयर कई तरह के DDoS हमले के तरीके पेश करता है और महत्वपूर्ण जानकारी को छिपाने के लिए केकसेक समूह द्वारा आमतौर पर इस्तेमाल किए जाने वाले एन्क्रिप्शन एल्गोरिदम का इस्तेमाल करता है। यह IoT डिवाइस और क्लाउड होस्ट पर दीर्घकालिक नियंत्रण बनाए रखने के लिए कई तकनीकों का भी इस्तेमाल करता है, जो उभरते बॉटनेट परिवारों के विशिष्ट काउंटर-डिटेक्शन उपायों के बारे में परिष्कृत जागरूकता को दर्शाता है।

कुछ सुरक्षा शोधकर्ताओं का सुझाव है कि गोरिल्ला बॉटनेट मैलवेयर पूरी तरह से नया नहीं है, यह एक वर्ष से अधिक समय से सक्रिय है।