Naujasis „Gorilla Botnet“ išlaisvina daugiau nei 300 000 DDoS atakų 100 šalių
Kibernetinis saugumas susiduria su nauja grėsme ir jos pavadinimas yra Gorilla, kitaip žinomas kaip GorillaBot. Šis robotų tinklas, liūdnai pagarsėjusio Mirai botneto variantas, išlaisvino paskirstytų paslaugų atsisakymo (DDoS) atakų srautą ir per kelias savaites viršijo 300 000 užpuolimų 100 šalių. Anot kibernetinio saugumo įmonės NSFOCUS, ši negailestinga atakų banga įvyko nuo 2024 m. rugsėjo 4 d. iki rugsėjo 27 d. ir sukėlė pasaulinę chaosą.
Table of Contents
„Gorilla Botnet“ pasiekiamumo mastas
Per kiek mažiau nei mėnesį „Gorilla“ robotų tinklas išleido vidutiniškai 20 000 DDoS atakų komandų per dieną. Tokios šalys kaip JAV, Kinija, Kanada ir Vokietija tapo pagrindiniais jos taikiniais, o nukentėjo daugybė sektorių – universitetų, telekomunikacijų paslaugų teikėjų, bankų ir net žaidimų bei lošimų pramonės. Tai dar labiau kelia nerimą dėl šių išpuolių masto.
Botnetas pirmiausia naudoja įvairius atakos vektorius, įskaitant UDP potvynį, ACK BYPASS potvynį, vožtuvo šaltinio variklio (VSE) potvynį, SYN potvynį ir ACK potvynį. Šie metodai skirti apkrauti tikslines sistemas srautu, todėl joms būtų sunku arba net neįmanoma normaliai veikti. Ypatingą susirūpinimą kelia UDP potvynių atakos, kurios išnaudoja UDP protokolo be ryšio pobūdį, kad generuotų didžiulį srauto kiekį klaidindamos šaltinio IP adresus.
Labai sudėtinga kenkėjiška programa
Be didžiulio tūrio, Gorilla botnetą išskiria jo rafinuotumas. Botnetas sukurtas veikti keliose procesoriaus architektūrose, įskaitant ARM, MIPS, x86_64 ir x86, todėl jis gali įsiskverbti į daugybę įrenginių. Kai kenkėjiška programa užkrečia sistemą, ji prisijungia prie vieno iš penkių iš anksto nustatytų komandų ir valdymo (C2) serverių, kad gautų naujas DDoS komandas.
Be to, kenkėjiška programa naudojasi žinomu „Apache Hadoop YARN RPC“ pažeidžiamumu – trūkumu, kuris buvo naudojamas nuo 2021 m. Tai darydamas „Gorilla“ robotų tinklas pasiekia nuotolinį kodo vykdymą užkrėstuose įrenginiuose, suteikdamas galimybę išlaikyti ilgalaikį valdymą. per šias sistemas. Patvarumas užtikrinamas kuriant paslaugų failus, kurie automatiškai paleidžia apvalkalo scenarijų, kai tik sistema paleidžiama arba vartotojas prisijungia.
Priešpriešinio aptikimo strategijos
„Gorilla“ nerimą kelia tai, kaip gerai ji išvengia aptikimo. Pasak NSFOCUS, botnetas naudoja šifravimo metodus, kad paslėptų pagrindinę informaciją, todėl kibernetinio saugumo specialistams sunku aptikti ir neutralizuoti kenkėjiškas programas. Ji taip pat skolinasi šifravimo metodus iš Keksec grupės, žinomos kaip kenkėjiškos programos, skirtos daiktų interneto įrenginiams ir debesų sistemoms, kūrimas. Šių strategijų derinys leidžia „Gorilla“ robotų tinklui išlaikyti užkrėstų įrenginių kontrolę ilgą laiką, neaptinkant.
Kodėl jums turėtų rūpėti
Dėl sparčios „Gorilla“ robotų tinklo plėtros ir galimybės vykdyti didelio masto DDoS atakas įvairiuose sektoriuose jis kelia didžiulę grėsmę įmonėms, vyriausybėms ir asmenims. Namuose ir pramonėje vis dažniau naudojami daiktų interneto įrenginiai, todėl botnetų atakų rizika ir toliau auga. Organizacijoms, ypač toms, kurios dirba tiksliniuose sektoriuose, labai svarbu imtis neatidėliotinų veiksmų kibernetinio saugumo apsaugai stiprinti, siekiant sušvelninti tokio pobūdžio atakas.
„Gorilla“ botneto atsiradimas yra ryškus priminimas, kad kibernetinės grėsmės vystosi, tampa vis agresyvesnės ir sudėtingesnės. Nesvarbu, ar esate asmuo, tvarkantis daiktų interneto įrenginius namuose, ar įmonė, valdanti kritinę infrastruktūrą, norint išvengti šių grėsmių reikia nuolatinio budrumo ir aktyvių kibernetinio saugumo priemonių. Kai laukinėje gamtoje yra tokie robotų tinklai kaip Gorilla, dabar ne laikas būti ramiems.
Organizacijos turėtų glaudžiai bendradarbiauti su kibernetinio saugumo įmonėmis ir nuolat informuoti apie naujausius pažeidžiamumus ir grėsmes, kad apsaugotų savo tinklus.
