Badacze odkryli złośliwe oprogramowanie botnetowe „Pink”, które zainfekowało ponad 1,6 miliona urządzeń

Badacze cyberbezpieczeństwa ujawnili szczegóły tego, co według nich jest „największym botnetem” zaobserwowanym w ciągu ostatnich sześciu lat, infekującym ponad 1,6 miliona urządzeń zlokalizowanych głównie w Chinach. W celu przeprowadzenia rozproszonych ataków typu „odmowa usługi” (DDoS) i umieszczania reklam w witrynach HTTP odwiedzanych przez niczego niepodejrzewających użytkowników.

Zespół ds. bezpieczeństwa Netlab Qihoo 360 nazwał botnet „Pink” na podstawie próbki uzyskanej 21 listopada 2019 r., ze względu na dużą liczbę nazw funkcji zaczynających się od „Pink”.
Ukierunkowany głównie na routery światłowodowe oparte na MIPS, botnet wykorzystuje kombinację usług innych firm, takich jak GitHub, sieci peer-to-peer (P2P) oraz centralne serwery dowodzenia i kontroli (C2) dla swoich botów do komunikacji z kontrolerami. Nie wspominając o całkowitym zaszyfrowaniu kanałów transmisji, aby uniemożliwić przejęcie urządzeń będących ofiarami ataku.

„Pink ścigał się z dostawcą, aby zachować kontrolę nad zainfekowanymi urządzeniami, podczas gdy dostawca wielokrotnie podejmował próby rozwiązania problemu, twórca bota zauważył działanie dostawcy również w czasie rzeczywistym i odpowiednio dokonał wielu aktualizacji oprogramowania układowego na routerach światłowodowych” – wyjaśniają naukowcy. Poinformował w analizie opublikowanej w zeszłym tygodniu po skoordynowanych działaniach podjętych przez nieokreślonego dostawcę i chiński zespół techniczny / centrum koordynacji ds. sieci komputerowych (CNCERT / CC).
Co ciekawe, odkryto również, że Pink przyjmuje DNS-Over-HTTPS (DoH), protokół używany do zdalnego rozwiązywania systemu nazw domen za pośrednictwem protokołu HTTPS, aby połączyć się z kontrolerem określonym w pliku konfiguracyjnym, który jest dostarczany za pośrednictwem GitHub lub Baidu Tieba lub przez wbudowaną nazwę domeny zakodowaną na sztywno w niektórych próbkach.
Ponad 96% węzłów zombie wchodzących w skład „sieci botów o bardzo dużej skali” znajdowało się w Chinach, odnotowała w niezależnym raporcie firma NSFOCUS z siedzibą w Pekinie, gdzie cyberprzestępca włamał się do urządzeń, aby zainstalować szkodliwe programy wykorzystanie lukę zero-day w urządzeniach będącymi bramami sieciowymi. Chociaż znaczna część zainfekowanych urządzeń została naprawiona i przywrócona do poprzedniego stanu z lipca 2020 r., mówi się, że botnet nadal jest aktywny i składa się z około 100 000 węzłów.

Ponieważ do tej pory botnet przeprowadził prawie 100 ataków DDoS, odkrycia są kolejną wskazówką, w jaki sposób botnety mogą oferować potężną infrastrukturę dla złych podmiotów do przeprowadzania różnych włamań. „Urządzenia Internetu rzeczy stały się ważnym celem dla czarnych organizacji produkcyjnych, a nawet dla organizacji zajmujących się zaawansowanymi trwałymi zagrożeniami (APT)” – powiedzieli naukowcy z NSFOCUS. „Chociaż Pink jest największym botnetem, jaki kiedykolwiek odkryto, nigdy nie będzie ostatnim”.