Gorilla Botnet

Raziskovalci kibernetske varnosti so identificirali novo družino zlonamerne programske opreme za botnete, znano kot Gorilla (ali GorillaBot), ki temelji na razkriti izvorni kodi botneta Mirai .

Po mnenju strokovnjakov, ki spremljajo to dejavnost, je botnet Gorilla izvedel več kot 300.000 napadalnih ukazov v izjemno kratkem času, z osupljivo stopnjo napadov septembra 2024. V povprečju je botnet sprožil okoli 20.000 ukazov dnevno, posebej namenjenih olajšanju porazdeljene zavrnitve- napadi brez storitve (DDoS).

Več kot 100 držav, tarča poskusov DDoS

Poroča se, da je botnet napadel več kot 100 držav in izvajal napade na univerze, vladna spletna mesta, telekomunikacije, banke ter industrijo iger na srečo in igre na srečo. Najbolj prizadete države so Kitajska, ZDA, Kanada in Nemčija.

Strokovnjaki navajajo, da Gorilla za izvajanje svojih napadov DDoS uporablja predvsem metode, kot so poplava UDP, poplava ACK BYPASS, poplava Valve Source Engine (VSE), poplava SYN in poplava ACK. Narava protokola UDP brez povezave omogoča ponarejanje naslova IP poljubnega vira, kar ima za posledico velik obseg prometa.

Poleg podpore za več arhitektur CPE, vključno z ARM, MIPS, x86_64 in x86, je botnet opremljen z zmožnostjo povezovanja z enim od petih vnaprej določenih strežnikov Command-and-Control (C2) za prejemanje ukazov DDoS.

Izkoriščanje ranljivosti in mehanizem vztrajnosti

V pomembnem razvoju zlonamerna programska oprema vključuje funkcije za izkoriščanje varnostne ranljivosti v Apache Hadoop YARN RPC, kar ji omogoča oddaljeno izvajanje kode. Ta posebna napaka se v naravi izkorišča vsaj od leta 2021.

Da bi zagotovila obstojnost na gostitelju, zlonamerna programska oprema ustvari storitveno datoteko z imenom custom.service v imeniku /etc/systemd/system/, ki je konfigurirana za samodejni zagon ob zagonu sistema. Ta storitev je zadolžena za prenos in izvajanje lupinskega skripta, imenovanega lol.sh, z oddaljenega strežnika (pen.gorillafirewall.su). Poleg tega so podobni ukazi vstavljeni v datoteke /etc/inittab, /etc/profile in /boot/bootcmd za olajšanje prenosa in izvajanja lupinskega skripta ob zagonu sistema ali prijavi uporabnika.

Zlonamerna programska oprema uvaja različne metode napadov DDoS in uporablja algoritme šifriranja, ki jih običajno uporablja skupina Keksec za prikrivanje kritičnih informacij. Uporablja tudi več tehnik za ohranjanje dolgoročnega nadzora nad napravami IoT in gostitelji v oblaku, kar odraža prefinjeno zavedanje ukrepov protiodkrivanja, značilnih za nastajajoče družine botnetov.

Nekateri varnostni raziskovalci menijo, da zlonamerna programska oprema Gorilla Botnet ni povsem nova, saj je aktivna že več kot eno leto.