Gorila botnet

Výskumníci v oblasti kybernetickej bezpečnosti identifikovali novú rodinu botnetového malvéru známeho ako Gorilla (alebo GorillaBot), ktorý je založený na zverejnenom zdrojovom kóde Mirai Botnet .

Podľa expertov, ktorí túto aktivitu monitorovali, botnet Gorila vykonal viac ako 300 000 útočných príkazov v pozoruhodne krátkom období, s ohromujúcou rýchlosťou útokov v septembri 2024. V priemere botnet spúšťal denne okolo 20 000 príkazov, špeciálne zameraných na uľahčenie distribuovaného odmietnutia. of-service (DDoS) útokov.

Viac ako 100 krajín, na ktoré sa zameriavajú pokusy o DDoS

Uvádza sa, že botnet sa zameral na viac ako 100 krajín a spustil útoky na univerzity, vládne webové stránky, telekomunikácie, banky, ako aj herný a hazardný priemysel. Medzi najviac postihnuté štáty patria Čína, USA, Kanada a Nemecko.

Experti uvádzajú, že Gorilla na vykonávanie svojich DDoS útokov primárne využíva metódy ako UDP flood, ACK BYPASS flood, Valve Source Engine (VSE), SYN flood a ACK flood. Bezspojová povaha protokolu UDP umožňuje ľubovoľné spoofing zdrojov IP, čo vedie k značnému objemu prevádzky.

Okrem podpory viacerých architektúr CPU, vrátane ARM, MIPS, x86_64 a x86, je botnet vybavený možnosťou pripojenia k jednému z piatich preddefinovaných serverov Command-and-Control (C2) na príjem príkazov DDoS.

Využívanie mechanizmov zraniteľnosti a vytrvalosti

V pozoruhodnom vývoji obsahuje malvér funkcie na využitie bezpečnostnej zraniteľnosti v Apache Hadoop YARN RPC, čo mu umožňuje dosiahnuť vzdialené spustenie kódu. Tento konkrétny nedostatok sa vo voľnej prírode využíva minimálne od roku 2021.

Aby sa zabezpečila trvalosť na hostiteľovi, malvér vytvorí súbor služby s názvom custom.service v adresári /etc/systemd/system/, ktorý je nakonfigurovaný na automatické spúšťanie pri štarte systému. Táto služba má za úlohu stiahnuť a spustiť skript shellu s názvom lol.sh zo vzdialeného servera (pen.gorillafirewall.su). Okrem toho sa podobné príkazy vkladajú do súborov /etc/inittab, /etc/profile a /boot/bootcmd, aby sa uľahčilo sťahovanie a spustenie skriptu shellu pri spustení systému alebo prihlásení používateľa.

Malvér predstavuje rôzne metódy útoku DDoS a využíva šifrovacie algoritmy bežne používané skupinou Keksec na zakrytie kritických informácií. Využíva tiež viacero techník na udržanie dlhodobej kontroly nad zariadeniami internetu vecí a hostiteľmi cloudu, čo odráža sofistikované povedomie o opatreniach proti detekcii typických pre vznikajúce rodiny botnetov.

Niektorí bezpečnostní výskumníci naznačujú, že malvér Gorilla Botnet nie je úplne nový, pretože je aktívny už viac ako rok.