„Aquabot Botnet“: dar vienas žaidėjas DDoS grėsmių kraštovaizdyje
Table of Contents
„Aquabot Botnet“ supratimas
„Aquabot“ yra robotų tinklas, sukurtas remiantis „Mirai“ sistema , gerai žinoma kenkėjiškų programų atmaina, naudojama valdyti prie interneto prijungtus įrenginius, kad būtų galima trukdyti kibernetinei veiklai. Nuo tada, kai pasirodė 2023 m. pabaigoje, jis buvo identifikuotas kaip įrankis, visų pirma skirtas didelio masto paskirstytųjų paslaugų atsisakymo (DDoS) atakoms vykdyti. Neseniai ji sulaukė dėmesio dėl bandymų išnaudoti „Mitel“ telefonų saugumo spragas, siekdama išplėsti pažeistų įrenginių tinklą.
Tikslinis pažeidžiamumas, pavadintas CVE-2024-41710, yra tam tikrų „Mitel“ SIP telefonų modelių įkrovos proceso komandos įvedimo klaida. Sėkmingai išnaudojus užpuolikams suteikiama galimybė paleisti savavališkas komandas paveiktuose įrenginiuose, veiksmingai įtraukiant juos į augantį Aquabot tinklą. Nepaisant to, kad „Mitel“ 2024 m. viduryje išleido šios problemos saugos pataisą, užpuolikai ir toliau stengėsi pažeisti įrenginius, kurie liko nepataisyti.
„Aquabot“ tikslas
„Aquabot“ pagrindinis tikslas yra vykdyti DDoS atakas. Tokio tipo atakos apima nukreiptus tinklus ar paslaugas, kurių srautas yra per didelis, dėl ko atsiranda trikdžių ir galimų nutrūkimų. Ataskaitose teigiama, kad „Aquabot“ kūrėjai gali pasiūlyti prieigą prie šio „botneto“ kaip paslaugą, leidžiančią klientams pradėti savo DDoS atakas. Tokių operacijų įrodymų pasirodė „Telegram“, kur kibernetiniai nusikaltėliai reklamuojasi tokiais slapyvardžiais kaip „Cursinq Firewall“, „The Eye Services“ ir „The Eye Botnet“.
Nors kai kurie asmenys teigia, kad „Aquabot“ naudojamas tik bandymų ar švietimo tikslais, gilesnė analizė prieštarauja šiems teiginiams. Botneto infrastruktūra atitinka modelius, paprastai susijusius su mokamomis kibernetinės atakos paslaugomis, o tai sustiprina įtarimus dėl tikrojo ketinimo.
Kaip Aquabot plinta
Naujausia „Aquabot“ veikla apima kelių pažeidžiamumų išnaudojimą, ne tik „Mitel“ telefono trūkumą. Pastebėta, kad robotų tinklas nukreiptas į žinomas saugumo silpnybes, įskaitant CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 ir CVE-2023-26801. Kai kurie iš šių pažeidžiamumų paveikia maršrutizatorius ir kitą prie interneto prijungtą aparatinę įrangą, todėl „Aquabot“ gali įsiskverbti į įrenginius per platų spektrą.
Kai įrenginys yra pažeistas, vykdomas scenarijus, kad būtų gauta botneto kenkėjiška programa. Pastebėta, kad pastarųjų atakų metu „Aquabot“ nuskaito savo naudingąją apkrovą naudodamas komandą „wget“, kuri leidžia atsisiųsti ir įdiegti reikalingus vykdymui komponentus.
Naujausia robotų tinklo iteracija apima svarbią funkciją, vadinamą „report_kill“, kuri įspėja komandų ir valdymo (C2) serverį, kai užkrėstas įrenginys gauna nutraukimo signalą. Nors po šio pranešimo nebuvo aptiktas jokio tiesioginio C2 serverio atsakymo, ši funkcija siūlo nuolatinius robotų tinklo architektūros patobulinimus. Be to, „Aquabot“ bando išvengti aptikimo persivadindamas į „httpd.x86“ ir nutraukdamas konkrečius procesus, galinčius trukdyti jo veiklai.
„Aquabot“ veiklos pasekmės
Nuolatinis „Mirai“ pagrindu sukurtų robotų tinklų, tokių kaip „Aquabot“, evoliucija išryškina nuolatinius saugumo iššūkius, susijusius su prie interneto prijungtais įrenginiais. Daugeliui tikslinių įrenginių arba trūksta patikimų saugos priemonių, jų palaikymo tarnavimo laikas baigėsi arba jie sukonfigūruoti naudojant numatytuosius kredencialus. Tai daro juos patraukliais taikiniais kibernetiniams nusikaltėliams, norintiems sukurti didelius robotų tinklus su minimaliomis pastangomis.
Vis didesnį susirūpinimą kelia galimybė kibernetiniams nusikaltėliams panaudoti „Aquabot“ tinklą didelio masto atakoms prieš įmones, vyriausybes ar ypatingos svarbos infrastruktūrą. DDoS atakos gali sukelti paslaugų nutraukimą, finansinius nuostolius ir žalą reputacijai, ypač organizacijoms, priklausančioms nuo internetinių platformų. Be to, juodosios rinkos paslauga, parduodanti prieigą prie Aquabot, padidina plačiai paplitusio piktnaudžiavimo tikimybę, nes mažai techninių žinių turintys asmenys gali pradėti savo atakas.
Didesnis paveikslas
„Aquabot“ atsiradimas pabrėžia platesnę kibernetinio saugumo problemą daiktų interneto (daiktų interneto) ir tinklo įrenginių srityje. Daugelis gamintojų vis dar teikia pirmenybę funkcionalumui, o ne saugumui, todėl užpuolikai greitai išnaudoja pažeidžiamumą. Nors programinės įrangos naujiniai ir pataisos apsaugo nuo žinomų išnaudojimų, išlieka iššūkis užtikrinti, kad vartotojai šiuos naujinimus pritaikytų laiku.
Botnetams toliau tobulėjant, užpuolikai tobulina savo metodus, kad išlaikytų atkaklumą ir išvengtų aptikimo. Tokių funkcijų kaip „report_kill“ įvedimas rodo perėjimą prie sudėtingesnės taktikos, o tai gali atverti kelią dar slaptesniems variantams ateityje.
Paskutinės mintys
„Aquabot“ yra dar vienas pavyzdys, kaip grėsmės veikėjai naudoja esamas pažeidžiamumas, kad išplėstų savo pasiekiamumą. Nors pastangos pataisyti paveiktus įrenginius yra labai svarbios, esminių priežasčių, tokių kaip silpna saugos praktika ir pasenusi aparatinė įranga, pašalinimas išlieka esminiu iššūkiu. Kibernetiniams nusikaltėliams aktyviai siūlant botneto paslaugas požeminėse platformose, tvirtų kibernetinio saugumo priemonių svarba niekada nebuvo tokia aiškesnė.
Organizacijos ir asmenys turi išlikti budrūs, užtikrindami, kad jų įrenginiai būtų tinkamai apsaugoti nuo kylančių grėsmių, tokių kaip „Aquabot“. Reguliarūs atnaujinimai, tvirta autentifikavimo praktika ir tinklo stebėjimas yra esminiai žingsniai mažinant botnetų keliamą riziką besivystančioje kibernetinio saugumo aplinkoje.
