ਗੋਰਿਲਾ ਬੋਟਨੈੱਟ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਬੋਟਨੈੱਟ ਮਾਲਵੇਅਰ ਦੇ ਇੱਕ ਨਵੇਂ ਪਰਿਵਾਰ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ ਜਿਸਨੂੰ ਗੋਰਿਲਾ (ਜਾਂ ਗੋਰਿਲਾਬੋਟ) ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ ਮੀਰਾਈ ਬੋਟਨੈੱਟ ਦੇ ਖੁਲਾਸਾ ਕੀਤੇ ਸਰੋਤ ਕੋਡ 'ਤੇ ਅਧਾਰਤ ਹੈ।

ਇਸ ਗਤੀਵਿਧੀ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨ ਵਾਲੇ ਮਾਹਰਾਂ ਦੇ ਅਨੁਸਾਰ, ਗੋਰਿਲਾ ਬੋਟਨੈੱਟ ਨੇ ਸਤੰਬਰ 2024 ਵਿੱਚ ਇੱਕ ਹੈਰਾਨੀਜਨਕ ਹਮਲੇ ਦੀ ਦਰ ਦੇ ਨਾਲ, ਇੱਕ ਕਮਾਲ ਦੀ ਛੋਟੀ ਮਿਆਦ ਦੇ ਅੰਦਰ 300,000 ਤੋਂ ਵੱਧ ਹਮਲਾ ਕਰਨ ਵਾਲੀਆਂ ਕਮਾਂਡਾਂ ਨੂੰ ਲਾਗੂ ਕੀਤਾ। ਔਸਤਨ, ਬੋਟਨੈੱਟ ਨੇ ਰੋਜ਼ਾਨਾ ਲਗਭਗ 20,000 ਕਮਾਂਡਾਂ ਲਾਂਚ ਕੀਤੀਆਂ, ਖਾਸ ਤੌਰ 'ਤੇ ਵਿਤਰਿਤ ਇਨਕਾਰ ਦੀ ਸਹੂਲਤ ਦੇ ਉਦੇਸ਼ ਨਾਲ- ਆਫ-ਸਰਵਿਸ (DDoS) ਹਮਲੇ।

DDoS ਕੋਸ਼ਿਸ਼ਾਂ ਦੁਆਰਾ 100 ਤੋਂ ਵੱਧ ਦੇਸ਼ਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਗਿਆ

ਬੋਟਨੈੱਟ ਨੇ ਯੂਨੀਵਰਸਿਟੀਆਂ, ਸਰਕਾਰੀ ਵੈਬਸਾਈਟਾਂ, ਦੂਰਸੰਚਾਰ, ਬੈਂਕਾਂ ਦੇ ਨਾਲ-ਨਾਲ ਗੇਮਿੰਗ ਅਤੇ ਜੂਏਬਾਜ਼ੀ ਉਦਯੋਗਾਂ ਦੇ ਵਿਰੁੱਧ ਹਮਲੇ ਸ਼ੁਰੂ ਕਰਨ ਲਈ 100 ਤੋਂ ਵੱਧ ਦੇਸ਼ਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਦੀ ਰਿਪੋਰਟ ਕੀਤੀ ਹੈ। ਸਭ ਤੋਂ ਵੱਧ ਪ੍ਰਭਾਵਿਤ ਦੇਸ਼ਾਂ ਵਿੱਚ ਚੀਨ, ਅਮਰੀਕਾ, ਕੈਨੇਡਾ ਅਤੇ ਜਰਮਨੀ ਸ਼ਾਮਲ ਹਨ।

ਮਾਹਰ ਦੱਸਦੇ ਹਨ ਕਿ ਗੋਰਿਲਾ ਆਪਣੇ DDoS ਹਮਲਿਆਂ ਨੂੰ ਅੰਜਾਮ ਦੇਣ ਲਈ ਮੁੱਖ ਤੌਰ 'ਤੇ UDP ਫਲੱਡ, ACK ਬਾਈਪਾਸ ਫਲੱਡ, ਵਾਲਵ ਸੋਰਸ ਇੰਜਨ (VSE) ਫਲੱਡ, SYN ਫਲੱਡ, ਅਤੇ ACK ਫਲੱਡ ਵਰਗੇ ਤਰੀਕਿਆਂ ਨੂੰ ਵਰਤਦਾ ਹੈ। UDP ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਕੁਨੈਕਸ਼ਨ ਰਹਿਤ ਪ੍ਰਕਿਰਤੀ ਆਪਹੁਦਰੇ ਸਰੋਤ IP ਸਪੂਫਿੰਗ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦੀ ਹੈ, ਜਿਸਦੇ ਨਤੀਜੇ ਵਜੋਂ ਆਵਾਜਾਈ ਦੀ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਮਾਤਰਾ ਹੁੰਦੀ ਹੈ।

ARM, MIPS, x86_64, ਅਤੇ x86 ਸਮੇਤ ਮਲਟੀਪਲ CPU ਆਰਕੀਟੈਕਚਰ ਲਈ ਇਸਦੇ ਸਮਰਥਨ ਤੋਂ ਇਲਾਵਾ, ਬੋਟਨੈੱਟ DDoS ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਪੰਜ ਪੂਰਵ-ਪ੍ਰਭਾਸ਼ਿਤ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰਾਂ ਵਿੱਚੋਂ ਇੱਕ ਨਾਲ ਜੁੜਨ ਦੀ ਸਮਰੱਥਾ ਨਾਲ ਲੈਸ ਹੈ।

ਕਮਜ਼ੋਰੀਆਂ ਅਤੇ ਨਿਰੰਤਰਤਾ ਵਿਧੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ

ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਵਿਕਾਸ ਵਿੱਚ, ਮਾਲਵੇਅਰ Apache Hadoop YARN RPC ਵਿੱਚ ਇੱਕ ਸੁਰੱਖਿਆ ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ ਫੰਕਸ਼ਨਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਇਹ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦਾ ਹੈ। ਘੱਟੋ-ਘੱਟ 2021 ਤੋਂ ਜੰਗਲੀ ਵਿੱਚ ਇਸ ਖਾਸ ਕਮੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ।

ਹੋਸਟ 'ਤੇ ਸਥਿਰਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ, ਮਾਲਵੇਅਰ /etc/systemd/system/ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ custom.service ਨਾਮ ਦੀ ਇੱਕ ਸਰਵਿਸ ਫਾਈਲ ਬਣਾਉਂਦਾ ਹੈ, ਜੋ ਕਿ ਸਿਸਟਮ ਸਟਾਰਟਅੱਪ 'ਤੇ ਆਪਣੇ ਆਪ ਚੱਲਣ ਲਈ ਸੰਰਚਿਤ ਹੈ। ਇਸ ਸੇਵਾ ਨੂੰ ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ (pen.gorillafirewall.su) ਤੋਂ lol.sh ਨਾਮਕ ਸ਼ੈੱਲ ਸਕ੍ਰਿਪਟ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਦਾ ਕੰਮ ਸੌਂਪਿਆ ਗਿਆ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, /etc/inittab, /etc/profile, ਅਤੇ /boot/bootcmd ਫਾਈਲਾਂ ਵਿੱਚ ਸਿਸਟਮ ਸਟਾਰਟਅਪ ਜਾਂ ਯੂਜ਼ਰ ਲਾਗਇਨ ਕਰਨ ਤੇ ਸ਼ੈੱਲ ਸਕ੍ਰਿਪਟ ਨੂੰ ਚਲਾਉਣ ਅਤੇ ਚਲਾਉਣ ਦੀ ਸਹੂਲਤ ਲਈ ਸਮਾਨ ਕਮਾਂਡਾਂ ਪਾਈਆਂ ਜਾਂਦੀਆਂ ਹਨ।

ਮਾਲਵੇਅਰ ਕਈ ਤਰ੍ਹਾਂ ਦੇ DDoS ਹਮਲੇ ਦੇ ਤਰੀਕਿਆਂ ਨੂੰ ਪੇਸ਼ ਕਰਦਾ ਹੈ ਅਤੇ ਨਾਜ਼ੁਕ ਜਾਣਕਾਰੀ ਨੂੰ ਅਸਪਸ਼ਟ ਕਰਨ ਲਈ ਕੇਕਸੇਕ ਸਮੂਹ ਦੁਆਰਾ ਆਮ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਂਦੇ ਏਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ। ਇਹ IoT ਡਿਵਾਈਸਾਂ ਅਤੇ ਕਲਾਉਡ ਮੇਜ਼ਬਾਨਾਂ 'ਤੇ ਲੰਬੇ ਸਮੇਂ ਦੇ ਨਿਯੰਤਰਣ ਨੂੰ ਬਣਾਈ ਰੱਖਣ ਲਈ ਕਈ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਵੀ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ ਉਭਰ ਰਹੇ ਬੋਟਨੈੱਟ ਪਰਿਵਾਰਾਂ ਦੇ ਖਾਸ ਤੌਰ 'ਤੇ ਕਾਊਂਟਰ-ਡਿਟੈਕਸ਼ਨ ਉਪਾਵਾਂ ਦੀ ਇੱਕ ਵਧੀਆ ਜਾਗਰੂਕਤਾ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।

ਕੁਝ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦਾ ਸੁਝਾਅ ਹੈ ਕਿ ਗੋਰਿਲਾ ਬੋਟਨੈੱਟ ਮਾਲਵੇਅਰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਨਵਾਂ ਨਹੀਂ ਹੈ, ਜੋ ਇੱਕ ਸਾਲ ਤੋਂ ਵੱਧ ਸਮੇਂ ਤੋਂ ਸਰਗਰਮ ਹੈ।