Розов ботнет
Розовият ботнет е един от най-големите ботнети, наблюдавани от общността на infosec през последните няколко години. Според откритията на изследователите, Pink Botnet,в своя пик е заразил и утвърдил контрол над повече от 1,6 милиона устройства. Трябва да се отбележи, че целите на ботнета са разположени в Китайпочти изключително, като приблизително 90% от компрометираните устройства се намират в страната. Ботнетът успя да използва уязвимостите в базираните на MIPS влакнести рутери.
Съдържание
Структура
Ботнетът е подкрепен от сложна и здрава архитектура, която позволява на нападателите да упражняват пълен контрол върху пробитите устройства. За да осигурят разпространението и наличността на необходимите данни за конфигурация, хакерите използват няколко различни техники. Първо, те се възползваха от услуги на трети страни като GITHUB и китайски уебсайт.
Благодарение на своята хибридна архитектура, конфигурационните данни на Pink ботнет също се разпространяваха чрез P2P (Peer-to-Peer) и C2 (Command-and-Control) сървъри. Един от методите за P2P е разпространението на P2P-Over-UDP123. Двойният характер на заплахата позволява на нападателите да разчитат на P2P за доставяне на общи команди, докато маршрутът C2 е запазен за внедряване на критични, чувствителни във времето инструкции, включително стартиране на DDoS атаки, инжектиране на реклами във всеки HTTP сайт, посещаван от потребителите, и т.н.
Заплашителни команди
Розовият ботнет е в състояние да разпознава и изпълнява над 10 входящи команди от администратора на ботове. В зависимост от конкретната цел на нападателите, ботнетът може да извлича допълнителни файлове и полезни товари, да изпълнява произволни системни команди, да стартира DDoS атаки, да извършва сканиране, да се актуализира и др. Хакерите също могат да използват злонамерения софтуер, за да съберат конкретни подробности за устройството - тип система, процесор, версия на системата, информация за хардуера и информация за паметта.
Постоянство и борба с продавача
Специфичните възможности на Pink ботнет му позволяват да мига оригиналния фърмуер на пробития оптичен рутер и след това да го пренапише с нов, който включва програма за изтегляне на C2 и придружаващия го зареждащ механизъм. След това киберпрестъпниците имат пълен контрол над устройството. Това им позволи да запазят нелегалния си достъп до заразените рутериуспешно, като същевременно се защитава срещу няколко различни подхода от страна на доставчика на устройството. В крайна сметка продавачът трябваше да прибегне до изпращане на специализирани техници за достъп до нарушените рутери и или да разглоби софтуера за отстраняване на грешки, или да смени изцяло устройството.
