บอตเน็ตกอริลลา
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุมัลแวร์บอตเน็ตตระกูลใหม่ที่เรียกว่า Gorilla (หรือ GorillaBot) ซึ่งมีพื้นฐานมาจากซอร์สโค้ดของ Mirai Botnet ที่เปิดเผย
จากการตรวจสอบกิจกรรมดังกล่าวของผู้เชี่ยวชาญ พบว่าบอตเน็ต Gorilla ได้ดำเนินการคำสั่งโจมตีมากกว่า 300,000 คำสั่งภายในระยะเวลาอันสั้น โดยมีอัตราการโจมตีที่น่าทึ่งในเดือนกันยายน 2024 โดยเฉลี่ยแล้ว บอตเน็ตได้ดำเนินการคำสั่งประมาณ 20,000 คำสั่งต่อวัน โดยมีจุดมุ่งหมายเพื่ออำนวยความสะดวกในการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) โดยเฉพาะ
มีมากกว่า 100 ประเทศที่ตกเป็นเป้าหมายของการโจมตี DDoS
มีรายงานว่าบอตเน็ตได้โจมตีประเทศต่างๆ มากกว่า 100 ประเทศ โดยโจมตีมหาวิทยาลัย เว็บไซต์ของรัฐบาล โทรคมนาคม ธนาคาร รวมถึงอุตสาหกรรมเกมและการพนัน ประเทศที่ได้รับผลกระทบมากที่สุด ได้แก่ จีน สหรัฐอเมริกา แคนาดา และเยอรมนี
ผู้เชี่ยวชาญระบุว่า Gorilla ใช้เทคนิคหลักๆ เช่น UDP Flood, ACK BYPASS Flood, Valve Source Engine (VSE) Flood, SYN Flood และ ACK Flood เพื่อดำเนินการโจมตี DDoS ลักษณะที่ไม่มีการเชื่อมต่อของโปรโตคอล UDP ทำให้มีการปลอมแปลง IP ต้นทางโดยพลการ ส่งผลให้มีปริมาณการรับส่งข้อมูลจำนวนมาก
นอกเหนือจากการรองรับสถาปัตยกรรม CPU หลายตัว เช่น ARM, MIPS, x86_64 และ x86 แล้ว บอตเน็ตยังมีความสามารถในการเชื่อมต่อกับเซิร์ฟเวอร์ Command-and-Control (C2) ที่กำหนดไว้ล่วงหน้าจำนวน 5 เซิร์ฟเวอร์เพื่อรับคำสั่ง DDoS อีกด้วย
การใช้ประโยชน์จากช่องโหว่และกลไกการคงอยู่
มัลแวร์มีการพัฒนาอย่างโดดเด่น โดยผสานรวมฟังก์ชันเพื่อใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยใน Apache Hadoop YARN RPC ซึ่งทำให้สามารถดำเนินการโค้ดจากระยะไกลได้ ช่องโหว่นี้ถูกใช้ประโยชน์จริงตั้งแต่ปี 2021 เป็นอย่างน้อย
เพื่อให้แน่ใจว่าจะคงอยู่บนโฮสต์ มัลแวร์จะสร้างไฟล์บริการชื่อ custom.service ในไดเร็กทอรี /etc/systemd/system/ ซึ่งกำหนดค่าให้ทำงานโดยอัตโนมัติเมื่อระบบเริ่มทำงาน บริการนี้ได้รับมอบหมายให้ดาวน์โหลดและเรียกใช้สคริปต์เชลล์ชื่อ lol.sh จากเซิร์ฟเวอร์ระยะไกล (pen.gorillafirewall.su) นอกจากนี้ คำสั่งที่คล้ายกันจะถูกแทรกไว้ในไฟล์ /etc/inittab, /etc/profile และ /boot/bootcmd เพื่อช่วยให้ดาวน์โหลดและเรียกใช้สคริปต์เชลล์เมื่อระบบเริ่มทำงานหรือเมื่อผู้ใช้ล็อกอิน
มัลแวร์นี้ใช้วิธีการโจมตี DDoS หลากหลายวิธี และใช้ขั้นตอนการเข้ารหัสที่กลุ่ม Keksec ใช้กันทั่วไปเพื่อปกปิดข้อมูลสำคัญ นอกจากนี้ยังใช้เทคนิคต่างๆ มากมายเพื่อควบคุมอุปกรณ์ IoT และโฮสต์บนคลาวด์ในระยะยาว ซึ่งสะท้อนให้เห็นถึงความตระหนักรู้ที่ซับซ้อนเกี่ยวกับมาตรการป้องกันการตรวจจับที่พบได้ทั่วไปในตระกูลบอตเน็ตที่เพิ่งเกิดขึ้นใหม่
นักวิจัยด้านความปลอดภัยบางรายแนะนำว่ามัลแวร์ Gorilla Botnet ไม่ใช่ของใหม่โดยสิ้นเชิง เนื่องจากมีพฤติกรรมอยู่มานานกว่าหนึ่งปีแล้ว
