Mạng lưới máy tính Gorilla

Các nhà nghiên cứu an ninh mạng đã xác định được một họ phần mềm độc hại botnet mới được gọi là Gorilla (hay GorillaBot), dựa trên mã nguồn được tiết lộ của Botnet Mirai .

Theo các chuyên gia theo dõi hoạt động này, mạng botnet Gorilla đã thực hiện hơn 300.000 lệnh tấn công trong một thời gian ngắn đáng kinh ngạc, với tỷ lệ tấn công đáng kinh ngạc vào tháng 9 năm 2024. Trung bình, mạng botnet này đã tung ra khoảng 20.000 lệnh mỗi ngày, đặc biệt nhằm mục đích tạo điều kiện cho các cuộc tấn công từ chối dịch vụ phân tán (DDoS).

Hơn 100 quốc gia bị tấn công DDoS

Botnet được báo cáo là đã nhắm mục tiêu vào hơn 100 quốc gia, phát động các cuộc tấn công vào các trường đại học, trang web của chính phủ, viễn thông, ngân hàng, cũng như ngành công nghiệp trò chơi và cờ bạc. Các quốc gia bị ảnh hưởng nhiều nhất bao gồm Trung Quốc, Hoa Kỳ, Canada và Đức.

Các chuyên gia chỉ ra rằng Gorilla chủ yếu sử dụng các phương pháp như UDP flood, ACK BYPASS flood, Valve Source Engine (VSE), SYN flood và ACK flood để thực hiện các cuộc tấn công DDoS. Bản chất không kết nối của giao thức UDP cho phép giả mạo IP nguồn tùy ý, dẫn đến khối lượng lưu lượng đáng kể.

Ngoài việc hỗ trợ nhiều kiến trúc CPU, bao gồm ARM, MIPS, x86_64 và x86, botnet còn được trang bị khả năng kết nối với một trong năm máy chủ Chỉ huy và Kiểm soát (C2) được xác định trước để nhận lệnh DDoS.

Khai thác lỗ hổng và cơ chế duy trì

Trong một diễn biến đáng chú ý, phần mềm độc hại kết hợp các chức năng để khai thác lỗ hổng bảo mật trong Apache Hadoop YARN RPC, cho phép nó thực hiện mã từ xa. Lỗ hổng cụ thể này đã bị khai thác trong tự nhiên ít nhất là từ năm 2021.

Để đảm bảo tính bền bỉ trên máy chủ, phần mềm độc hại tạo một tệp dịch vụ có tên là custom.service trong thư mục /etc/systemd/system/, được cấu hình để chạy tự động khi khởi động hệ thống. Dịch vụ này có nhiệm vụ tải xuống và thực thi một tập lệnh shell có tên là lol.sh từ một máy chủ từ xa (pen.gorillafirewall.su). Ngoài ra, các lệnh tương tự được chèn vào các tệp /etc/inittab, /etc/profile và /boot/bootcmd để tạo điều kiện tải xuống và thực thi tập lệnh shell khi khởi động hệ thống hoặc đăng nhập người dùng.

Phần mềm độc hại này giới thiệu nhiều phương pháp tấn công DDoS và sử dụng các thuật toán mã hóa thường được nhóm Keksec sử dụng để che giấu thông tin quan trọng. Nó cũng sử dụng nhiều kỹ thuật để duy trì quyền kiểm soát lâu dài đối với các thiết bị IoT và máy chủ đám mây, phản ánh nhận thức tinh vi về các biện pháp chống phát hiện đặc trưng của các họ botnet mới nổi.

Một số nhà nghiên cứu bảo mật cho rằng phần mềm độc hại Gorilla Botnet không hoàn toàn mới, mà đã hoạt động trong hơn một năm.