Νέο Gorilla Botnet εξαπολύει περισσότερες από 300.000 επιθέσεις DDoS σε 100 χώρες
Η κυβερνοασφάλεια αντιμετωπίζει μια νέα απειλή και το όνομά της είναι Gorilla — αλλιώς γνωστό ως GorillaBot. Αυτό το botnet, μια παραλλαγή του διαβόητου botnet Mirai, έχει εξαπολύσει έναν χείμαρρο επιθέσεων Distributed Denial-of-Service (DDoS), ξεπερνώντας τις 300.000 επιθέσεις σε 100 χώρες μέσα σε λίγες μόνο εβδομάδες. Σύμφωνα με την εταιρεία κυβερνοασφάλειας NSFOCUS, αυτό το ανελέητο κύμα επιθέσεων σημειώθηκε μεταξύ 4 Σεπτεμβρίου και 27 Σεπτεμβρίου 2024, δημιουργώντας παγκόσμιο όλεθρο.
Table of Contents
Η έκταση της απήχησης του δορυφορικού δικτύου Gorilla
Σε λιγότερο από ένα μήνα, το botnet Gorilla έχει εκδώσει κατά μέσο όρο 20.000 εντολές επίθεσης DDoS την ημέρα. Χώρες όπως οι ΗΠΑ, η Κίνα, ο Καναδάς και η Γερμανία έχουν αναδειχθεί ως πρωταρχικοί στόχοι, με ένα ευρύ φάσμα τομέων -πανεπιστήμια, παρόχους τηλεπικοινωνιών, τράπεζες, ακόμη και οι βιομηχανίες τυχερών παιχνιδιών και τυχερών παιχνιδιών- να πλήττονται. Αυτό που το κάνει ακόμη πιο ανησυχητικό είναι η κλίμακα στην οποία συμβαίνουν αυτές οι επιθέσεις.
Το botnet χρησιμοποιεί κυρίως διάφορους φορείς επίθεσης, όπως πλημμύρα UDP, πλημμύρα ACK BYPASS, πλημμύρα κινητήρα πηγής βαλβίδων (VSE), πλημμύρα SYN και πλημμύρα ACK. Αυτές οι μέθοδοι έχουν σχεδιαστεί για να κατακλύζουν τα στοχευμένα συστήματα με κίνηση, καθιστώντας δύσκολη, αν όχι αδύνατη, την κανονική λειτουργία τους. Ιδιαίτερη ανησυχία προκαλεί η χρήση επιθέσεων πλημμύρας UDP, οι οποίες εκμεταλλεύονται τη φύση χωρίς σύνδεση του πρωτοκόλλου UDP για να δημιουργήσουν μια συντριπτική ποσότητα κίνησης πλαστογραφώντας τις διευθύνσεις IP πηγής.
Ένα εξαιρετικά εξελιγμένο κακόβουλο λογισμικό
Πέρα από τον τεράστιο όγκο του, αυτό που ξεχωρίζει το botnet Gorilla είναι η πολυπλοκότητά του. Το botnet έχει σχεδιαστεί για να λειτουργεί σε πολλές αρχιτεκτονικές CPU, συμπεριλαμβανομένων των ARM, MIPS, x86_64 και x86, επιτρέποντάς του να διεισδύσει σε ένα ευρύ φάσμα συσκευών. Μόλις το κακόβουλο λογισμικό μολύνει ένα σύστημα, συνδέεται με έναν από τους πέντε προκαθορισμένους διακομιστές εντολών και ελέγχου (C2) για να λάβει νέες εντολές DDoS.
Επιπλέον, το κακόβουλο λογισμικό εκμεταλλεύεται μια γνωστή ευπάθεια στο Apache Hadoop YARN RPC, ένα ελάττωμα που έχει γίνει αντικείμενο εκμετάλλευσης από το 2021. Με αυτόν τον τρόπο, το botnet Gorilla επιτυγχάνει απομακρυσμένη εκτέλεση κώδικα σε μολυσμένες συσκευές, δίνοντάς του τη δυνατότητα να διατηρεί μακροπρόθεσμο έλεγχο πάνω από αυτά τα συστήματα. Η επιμονή διασφαλίζεται με τη δημιουργία αρχείων υπηρεσίας που εκτελούν αυτόματα ένα σενάριο φλοιού κάθε φορά που ξεκινά το σύστημα ή όταν συνδέεται ένας χρήστης.
Στρατηγικές Αντιανίχνευσης
Αυτό που είναι πραγματικά ανησυχητικό για το Gorilla είναι το πόσο καλά αποφεύγει τον εντοπισμό του. Σύμφωνα με το NSFOCUS, το botnet χρησιμοποιεί τεχνικές κρυπτογράφησης για την απόκρυψη βασικών πληροφοριών, καθιστώντας δύσκολο για τους επαγγελματίες της κυβερνοασφάλειας να εντοπίσουν και να εξουδετερώσουν το κακόβουλο λογισμικό. Δανείζεται επίσης μεθόδους κρυπτογράφησης από τον όμιλο Keksec, μια διαβόητη ομάδα γνωστή για την ανάπτυξη κακόβουλου λογισμικού που στοχεύει σε συσκευές IoT και συστήματα cloud. Ο συνδυασμός αυτών των στρατηγικών επιτρέπει στο botnet Gorilla να διατηρεί τον έλεγχο των μολυσμένων συσκευών για μεγάλα χρονικά διαστήματα χωρίς να ανιχνεύεται.
Γιατί πρέπει να νοιάζεστε
Η ταχεία επέκταση του botnet του Gorilla και η ικανότητά του να πραγματοποιεί επιθέσεις DDoS μεγάλης κλίμακας σε ένα τόσο ευρύ φάσμα τομέων το καθιστούν τρομερή απειλή για τις επιχειρήσεις, τις κυβερνήσεις και τα άτομα. Καθώς οι συσκευές IoT γίνονται όλο και πιο κοινές σε σπίτια και βιομηχανίες, ο κίνδυνος επιθέσεων που βασίζονται σε botnet συνεχίζει να αυξάνεται. Για τους οργανισμούς, ειδικά εκείνους στους στοχευμένους τομείς, η λήψη άμεσων μέτρων για την ενίσχυση της άμυνας στον κυβερνοχώρο είναι ζωτικής σημασίας για τον μετριασμό αυτού του είδους των επιθέσεων.
Η εμφάνιση του botnet Gorilla είναι μια έντονη υπενθύμιση ότι οι απειλές στον κυβερνοχώρο εξελίσσονται, γίνονται πιο επιθετικές και εξελιγμένες. Είτε είστε άτομο που διαχειρίζεστε συσκευές IoT στο σπίτι είτε επιχείρηση που διαθέτει υποδομές ζωτικής σημασίας, η παραμονή μπροστά σε αυτές τις απειλές απαιτεί συνεχή επαγρύπνηση και προληπτικά μέτρα ασφάλειας στον κυβερνοχώρο. Με botnets όπως το Gorilla στη φύση, τώρα δεν είναι η ώρα να εφησυχάζουμε.
Οι οργανισμοί θα πρέπει να συνεργάζονται στενά με εταιρείες κυβερνοασφάλειας και να ενημερώνονται για τις πιο πρόσφατες ευπάθειες και απειλές για την προστασία των δικτύων τους.
