Aquabot Botnet: Kolejny gracz w krajobrazie zagrożeń DDoS
Table of Contents
Zrozumienie botnetu Aquabot
Aquabot to botnet zbudowany na platformie Mirai , dobrze znanym szczepie złośliwego oprogramowania używanym do przejmowania kontroli nad urządzeniami podłączonymi do Internetu w celu zakłócania cyberdziałań. Od czasu pojawienia się pod koniec 2023 r. został zidentyfikowany jako narzędzie zaprojektowane głównie do wykonywania ataków typu Distributed Denial-of-Service (DDoS) na dużą skalę. Niedawno zyskał rozgłos dzięki próbom wykorzystania luki w zabezpieczeniach telefonów Mitel, mającym na celu rozszerzenie sieci zainfekowanych urządzeń.
Celowana luka, oznaczona jako CVE-2024-41710, to luka polegająca na wstrzykiwaniu poleceń w procesie rozruchu niektórych modeli telefonów SIP Mitel. Jeśli zostanie ona pomyślnie wykorzystana, atakujący będą mogli uruchamiać dowolne polecenia na dotkniętych urządzeniach, skutecznie rejestrując je w rosnącej sieci Aquabot. Pomimo że Mitel wydał poprawkę bezpieczeństwa dla tego problemu w połowie 2024 r., atakujący nadal podejmują wysiłki, aby naruszyć bezpieczeństwo urządzeń, które pozostają niezałatane.
Cel Aquabota
Głównym celem Aquabota jest przeprowadzanie ataków DDoS. Tego typu ataki obejmują przeciążenie docelowych sieci lub usług nadmiernym ruchem, powodując zakłócenia i potencjalne przerwy w działaniu. Raporty sugerują, że osoby stojące za Aquabotem mogą oferować dostęp do tego botnetu jako usługę, umożliwiając klientom uruchamianie własnych ataków DDoS. Dowody takich operacji pojawiły się na Telegramie, gdzie cyberprzestępcy wydają się reklamować pod pseudonimami takimi jak Cursinq Firewall, The Eye Services i The Eye Botnet.
Podczas gdy niektórzy twierdzą, że Aquabot jest używany wyłącznie do celów testowych lub edukacyjnych, głębsza analiza przeczy tym twierdzeniom. Infrastruktura botnetu jest zgodna ze wzorcami powszechnie kojarzonymi z płatnymi usługami cyberataków, co wzmacnia podejrzenia co do jego prawdziwych intencji.
Jak rozprzestrzenia się Aquabot
Najnowsze działania Aquabota obejmują wykorzystywanie wielu luk w zabezpieczeniach wykraczających poza lukę w telefonie Mitel. Zaobserwowano, że botnet atakuje znane słabości zabezpieczeń, w tym CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 i CVE-2023-26801. Niektóre z tych luk wpływają na routery i inny sprzęt podłączony do Internetu, umożliwiając Aquabotowi infiltrację urządzeń w szerokim spektrum.
Po naruszeniu urządzenia wykonywany jest skrypt w celu pobrania złośliwego oprogramowania botnet. W ostatnich atakach zaobserwowano, że Aquabot pobiera swój ładunek za pomocą polecenia „wget”, które umożliwia mu pobranie i zainstalowanie niezbędnych komponentów do wykonania.
Najnowsza iteracja botnetu obejmuje godną uwagi funkcję o nazwie „report_kill”, która powiadamia serwer poleceń i kontroli (C2), gdy zainfekowane urządzenie otrzymuje sygnał zakończenia. Chociaż nie wykryto żadnej natychmiastowej odpowiedzi serwera C2 po tym powiadomieniu, ta funkcja sugeruje trwające udoskonalenia w architekturze botnetu. Ponadto Aquabot próbuje uniknąć wykrycia, zmieniając nazwę na „httpd.x86” i kończąc określone procesy, które mogłyby zakłócać jego działanie.
Konsekwencje aktywności Aquabota
Ciągła ewolucja botnetów opartych na Mirai, takich jak Aquabot, podkreśla stałe wyzwania bezpieczeństwa związane z urządzeniami podłączonymi do Internetu. Wiele urządzeń docelowych albo nie ma solidnych środków bezpieczeństwa, albo osiągnęło koniec okresu wsparcia, albo pozostaje skonfigurowanych z domyślnymi poświadczeniami. To sprawia, że są atrakcyjnymi celami dla cyberprzestępców, którzy chcą budować rozległe botnety przy minimalnym wysiłku.
Coraz większym zmartwieniem jest możliwość wykorzystania sieci Aquabota przez cyberprzestępców do ataków na dużą skalę na firmy, rządy lub infrastrukturę krytyczną. Ataki DDoS mogą prowadzić do przerw w świadczeniu usług, strat finansowych i szkód dla reputacji, szczególnie w przypadku organizacji zależnych od platform internetowych. Ponadto obecność usługi na czarnym rynku sprzedającej dostęp do Aquabota zwiększa prawdopodobieństwo powszechnego nadużycia, ponieważ osoby o niewielkiej wiedzy technicznej mogłyby potencjalnie przeprowadzić własne ataki.
Szerszy obraz
Pojawienie się Aquabota podkreśla szerszy problem cyberbezpieczeństwa w obszarze IoT (Internet of Things) i urządzeń sieciowych. Wielu producentów nadal stawia funkcjonalność ponad bezpieczeństwo, pozostawiając luki, które atakujący szybko wykorzystują. Podczas gdy aktualizacje oprogramowania i poprawki zapewniają obronę przed znanymi exploitami, wyzwaniem pozostaje zapewnienie, że użytkownicy stosują te aktualizacje w odpowiednim czasie.
W miarę jak botnety ewoluują, atakujący udoskonalają swoje metody, aby utrzymać trwałość i uniknąć wykrycia. Wprowadzenie funkcji takich jak „report_kill” sugeruje przejście w stronę bardziej wyrafinowanych taktyk, potencjalnie torując drogę jeszcze bardziej ukrytym wariantom w przyszłości.
Ostatnie przemyślenia
Aquabot to kolejny przykład tego, jak aktorzy zagrożeń wykorzystują istniejące luki w zabezpieczeniach, aby zwiększyć swój zasięg. Podczas gdy wysiłki na rzecz łatania dotkniętych urządzeń są kluczowe, zajęcie się przyczynami źródłowymi — takimi jak słabe praktyki bezpieczeństwa i przestarzały sprzęt — pozostaje fundamentalnym wyzwaniem. Ponieważ cyberprzestępcy aktywnie oferują usługi botnetów na podziemnych platformach, znaczenie solidnych środków cyberbezpieczeństwa nigdy nie było bardziej oczywiste.
Zarówno organizacje, jak i osoby prywatne muszą zachować czujność, zapewniając, że ich urządzenia są odpowiednio zabezpieczone przed pojawiającymi się zagrożeniami, takimi jak Aquabot. Regularne aktualizacje, silne praktyki uwierzytelniania i monitorowanie sieci to niezbędne kroki w celu złagodzenia ryzyka stwarzanego przez botnety w zmieniającym się krajobrazie cyberbezpieczeństwa.
