Růžový botnet
Pink botnet je jedním z největších botnetů, které komunita infosec v posledních několika letech pozorovala. Podle zjištění výzkumníků Pink Botnet,na svém vrcholu infikoval a získal kontrolu nad více než 1,6 miliony zařízení. Je třeba poznamenat, že cíle botnetu byly umístěny v Čínětéměř výhradně, přičemž odhadem 90 % napadených zařízení se nachází v zemi. Botnet dokázal zneužít zranitelnosti optických směrovačů založených na MIPS.
Obsah
Struktura
Botnet je podporován složitou a robustní architekturou, která útočníkům umožňuje plně ovládat napadená zařízení. K zajištění distribuce a dostupnosti potřebných konfiguračních dat používají hackeři několik různých technik. Nejprve využili služeb třetích stran, jako je GITHUB a čínský web.
Díky hybridní architektuře byla konfigurační data Pink botnetu distribuována také prostřednictvím serverů P2P (Peer-to-Peer) a C2 (Command-and-Control). Jednou z metod P2P je distribuce P2P-Over-UDP123. Dvojí povaha hrozby umožňuje útočníkům spoléhat se na P2P při doručování obecných příkazů, zatímco trasa C2 je vyhrazena pro nasazení kritických, časově citlivých instrukcí, včetně spouštění DDoS útoků, vkládání reklam na jakékoli HTTP stránky navštěvované uživateli, atd.
Výhrůžné příkazy
Pink botnet je schopen rozpoznat a provést více než 10 příchozích příkazů od botmastera. V závislosti na konkrétním cíli útočníků by botnet mohl načítat další soubory a užitečné zatížení, provádět libovolné systémové příkazy, spouštět útoky DDoS, provádět skenování, aktualizovat se a další. Hackeři by také mohli využít malware ke shromažďování konkrétních podrobností o zařízení – typu systému, CPU, verze systému, informací o hardwaru a paměti.
Vytrvalost a boj s prodejcem
Konkrétní možnosti botnetu Pink mu umožňují flashovat původní firmware prolomeného optického routeru a poté jej přepsat novým, který obsahuje C2 downloader a doprovodný bootloader. Poté mají kyberzločinci nad zařízením plnou kontrolu. To jim umožnilo zachovat si nelegální přístup k infikovaným routerůmúspěšně a zároveň se bránit několika různým přístupům ze strany dodavatele zařízení. Nakonec se prodejce musel uchýlit k vyslání specializovaných techniků, aby získali přístup k narušeným směrovačům a buď rozebrali ladicí software, nebo jednotku úplně vyměnili.
