Az új Gorilla Botnet több mint 300 000 DDoS támadást szabadít fel 100 országban
A kiberbiztonság új fenyegetéssel néz szembe, neve Gorilla – más néven GorillaBot. Ez a botnet, a hírhedt Mirai botnet egy változata, elosztott szolgáltatásmegtagadási (DDoS) támadások özönét szabadította fel, és néhány hét alatt meghaladta a 300 000 támadást 100 országban. Az NSFOCUS kiberbiztonsági cég szerint ez a könyörtelen támadási hullám 2024. szeptember 4. és szeptember 27. között zajlott, és globális pusztítást okozott.
Table of Contents
A Gorilla Botnet elérhetőségének mértéke
Alig egy hónap alatt a Gorilla botnet átlagosan napi 20 000 DDoS támadási parancsot adott ki. Az olyan országok, mint az Egyesült Államok, Kína, Kanada és Németország váltak elsődleges célponttá, és számos szektor – egyetemek, távközlési szolgáltatók, bankok, sőt még a játék- és szerencsejáték-ipar is – sújtott. Ami ezt még riasztóbbá teszi, az az, hogy ezek a támadások milyen léptékűek.
A botnet elsősorban különféle támadási vektorokat használ, beleértve az UDP elárasztást, az ACK BYPASS elárasztást, a Valve Source Engine (VSE) elárasztást, a SYN elárasztást és az ACK elárasztást. Ezeket a módszereket úgy tervezték, hogy túlterheljék a megcélzott rendszereket forgalommal, ami megnehezíti, ha nem lehetetlenné teszi a normális működésüket. Különös aggodalomra ad okot az UDP-özön támadások alkalmazása, amelyek kihasználják az UDP-protokoll kapcsolat nélküli természetét, és túlnyomó mennyiségű forgalmat generálnak a forrás IP-címeinek meghamisításával.
Egy rendkívül kifinomult rosszindulatú program
A hatalmas mennyiségen túl a Gorilla botnetet a kifinomultsága különbözteti meg egymástól. A botnetet úgy tervezték, hogy több CPU-architektúrán is működjön, beleértve az ARM-et, a MIPS-t, az x86_64-et és az x86-ot, lehetővé téve az eszközök széles skálájának behatolását. Amint a rosszindulatú program megfertőz egy rendszert, csatlakozik az öt előre meghatározott parancs- és vezérlőkiszolgáló egyikéhez (C2), hogy új DDoS-parancsokat kapjon.
Ezenkívül a rosszindulatú program kihasználja az Apache Hadoop YARN RPC ismert sebezhetőségét, amely hibáját 2021 óta használják ki. Ezzel a Gorilla botnet távoli kódfuttatást tesz lehetővé a fertőzött eszközökön, így képes hosszú távú irányítást fenntartani. ezeken a rendszereken. A tartósságot olyan szolgáltatásfájlok biztosítják, amelyek automatikusan végrehajtanak egy shell-szkriptet, amikor a rendszer elindul, vagy a felhasználó bejelentkezik.
Ellenfelderítési stratégiák
Ami igazán aggasztó a Gorilla esetében, az az, hogy mennyire elkerüli az észlelést. Az NSFOCUS szerint a botnet titkosítási technikákat alkalmaz a kulcsfontosságú információk elfedésére, ami megnehezíti a kiberbiztonsági szakemberek számára a kártevő észlelését és semlegesítését. Titkosítási módszereket is kölcsönöz a Keksec csoporttól, amely az IoT-eszközöket és felhőrendszereket célzó rosszindulatú programok fejlesztéséről ismert. E stratégiák kombinációja lehetővé teszi a Gorilla botnet számára, hogy huzamosabb ideig fenntartsa az irányítást a fertőzött eszközök felett anélkül, hogy észlelnék.
Miért kellene törődnie
A Gorilla botnet gyors terjeszkedése és az a képessége, hogy nagyszabású DDoS-támadásokat hajthat végre az ágazatok széles skáláján, óriási veszélyt jelent a vállalkozásokra, a kormányokra és az egyénekre egyaránt. Ahogy az IoT-eszközök egyre gyakoribbá válnak az otthonokban és az iparban, a botnet által vezérelt támadások kockázata tovább nő. A szervezetek számára, különösen a megcélzott ágazatokban működő szervezetek számára, az ilyen típusú támadások mérsékléséhez elengedhetetlen a kiberbiztonsági védelem megerősítése érdekében tett azonnali lépések megtétele.
A Gorilla botnet megjelenése határozottan emlékeztet arra, hogy a kiberfenyegetések fejlődnek, egyre agresszívebbek és kifinomultabbak. Legyen szó akár otthon IoT-eszközöket kezelő magánszemélyről, akár kritikus infrastruktúrát üzemeltető vállalatról, ezeknek a fenyegetéseknek a megelőzéséhez állandó éberségre és proaktív kiberbiztonsági intézkedésekre van szükség. Az olyan botnetekkel, mint a Gorilla a vadonban, most nincs itt az ideje az önelégültségnek.
A szervezeteknek szorosan együtt kell működniük a kiberbiztonsági cégekkel, és folyamatosan értesülniük kell a legújabb sebezhetőségekről és fenyegetésekről hálózataik védelme érdekében.
