Gorillas robottīkls

Kiberdrošības pētnieki ir identificējuši jaunu robottīklu ļaunprātīgas programmatūras saimi, kas pazīstama kā Gorilla (vai GorillaBot), kuras pamatā ir atklātais Mirai Botnet avota kods.

Pēc ekspertu domām, kas uzrauga šo darbību, Gorilla robottīkls izpildīja vairāk nekā 300 000 uzbrukuma komandu ārkārtīgi īsā laika posmā ar pārsteidzošu uzbrukumu biežumu 2024. gada septembrī. Vidēji robottīkls katru dienu palaida aptuveni 20 000 komandu, kuru mērķis bija īpaši atvieglot izplatīto noliegšanu. pakalpojumu (DDoS) uzbrukumi.

Vairāk nekā 100 valstis, uz kurām attiecas DDoS mēģinājumi

Tiek ziņots, ka robottīkls ir mērķēts uz vairāk nekā 100 valstīm, uzsākot uzbrukumus universitātēm, valdības vietnēm, telekomunikācijām, bankām, kā arī spēļu un azartspēļu nozarēm. Visvairāk skartās valstis ir Ķīna, ASV, Kanāda un Vācija.

Eksperti norāda, ka Gorilla DDoS uzbrukumu veikšanai galvenokārt izmanto tādas metodes kā UDP plūdi, ACK BYPASS plūdi, Valve Source Engine (VSE) plūdi, SYN plūdi un ACK plūdi. UDP protokola bezsavienojuma raksturs nodrošina patvaļīgu avota IP viltošanu, kā rezultātā tiek iegūts ievērojams trafika apjoms.

Papildus atbalstam vairākām CPU arhitektūrām, tostarp ARM, MIPS, x86_64 un x86, robottīkls ir aprīkots ar iespēju izveidot savienojumu ar vienu no pieciem iepriekš definētiem Command-and-Control (C2) serveriem, lai saņemtu DDoS komandas.

Ievainojamību un noturības mehānisma izmantošana

Ievērojamā attīstībā ļaunprogrammatūra ietver funkcijas, lai izmantotu Apache Hadoop YARN RPC drošības ievainojamību, ļaujot tai panākt attālinātu koda izpildi. Šis konkrētais trūkums savvaļā ir izmantots vismaz kopš 2021. gada.

Lai nodrošinātu noturību resursdatorā, ļaunprogrammatūra direktorijā /etc/systemd/system/ izveido pakalpojuma failu ar nosaukumu custom.service, kas ir konfigurēts tā, lai sistēma palaistu automātiski. Šī pakalpojuma uzdevums ir lejupielādēt un izpildīt čaulas skriptu lol.sh no attālā servera (pen.gorillafirewall.su). Turklāt līdzīgas komandas tiek ievietotas failos /etc/inittab, /etc/profile un /boot/bootcmd, lai atvieglotu čaulas skripta lejupielādi un izpildi sistēmas startēšanas vai lietotāja pieteikšanās laikā.

Ļaunprātīgā programmatūra ievieš dažādas DDoS uzbrukuma metodes un izmanto šifrēšanas algoritmus, ko parasti izmanto Keksec grupa, lai slēptu svarīgu informāciju. Tas arī izmanto vairākas metodes, lai saglabātu ilgtermiņa kontroli pār IoT ierīcēm un mākoņdatošanas resursdatoriem, atspoguļojot izsmalcinātu izpratni par pretatklāšanas pasākumiem, kas raksturīgi jaunajām robottīklu saimēm.

Daži drošības pētnieki norāda, ka Gorilla Botnet ļaunprogrammatūra nav pilnīgi jauna, jo tā ir bijusi aktīva vairāk nekā gadu.