CatDDoS-i robotvõrk
Teadlased, kes analüüsivad aktiivsemaid tavalisi DDoS-i robotvõrke, on teatanud CatDDoS-iga seotud kübergangide ründeoperatsioonide hoogustumist. Uurimise käigus õnnestus ekspertidel kinnitada, et küberkurjategijad on vaid kolme kuu jooksul kasutanud ära üle 80 turvaauku, et ohustada sihitud seadmeid. Lisaks on täheldatud, et maksimaalne sihtmärkide arv ületab 300+ päevas. Ründajate eesmärk on tungida haavatavatesse seadmetesse ja kaaperdada need, et saada osaks hajutatud teenusekeelu (DDoS) rünnakute läbiviimiseks mõeldud robotvõrgust.
Sisukord
Küberkurjategijad kuritarvitavad CatDDoS-i robotvõrgu tarnimiseks arvukalt turvaauke
Need haavatavused mõjutavad paljusid seadmeid, sealhulgas ruutereid, võrguseadmeid ja muud riistvara, mida tarnivad erinevad müüjad, nagu Apache (ActiveMQ, Hadoop, Log4j ja RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel ja teised. Teadlased on juhtinud tähelepanu, et teatud haavatavused jäävad tuvastamata, võib-olla on need teatud tingimustel 0-päevased haavatavused.
CatDDoS põhineb kurikuulsal Mirai robotvõrgul
CatDDoS on ise Mirai variant selle loomisest peale. Selle nimi tuleneb sõnade "cat" ja "mjäu" lisamisest varajastesse domeeninimedesse ja -näidistesse, mis näitab selle looja afiinsust kasside teemade suhtes. Algselt 2023. aasta augustis ilmunud CatDDoS-i hiljutised iteratsioonid näitavad sidemeetodites minimaalseid muudatusi võrreldes varasemate versioonidega.
Teadlaste seas on spekulatsioone, et CatDDoS võis eelmise aasta lõpus sulgeda. Sellegipoolest müüsid ohu lähtekoodi selle loojad või lekitati see iseseisvalt. Sellest tulenevalt on selle tulemusena tekkinud uued iteratsioonid nagu RebirthLTD, Komaru, Cecilio Network.
Mitmed küberkurjategijate rühmad on loonud oma CatDDoS-i robotivõrgu variandid
Kuigi erinevad rühmad võivad jälgida CatDDoS-i robotvõrgu erinevaid iteratsioone, on koodistruktuuris, sideprotokollides, stringimustrites, dekrüpteerimismetoodikates ja muudes aspektides minimaalne erinevus. Sellest tulenevalt on teadlased koondanud need variandid ühtseks klastriks, mida tuntakse CatDDoS-iga seotud jõukudena.
Uuemate aktiivsete variantide hulgas on v-2.0.4 (CatDDoS) ja v-Rebirth (RebirthLTD), mis mõlemad kasutavad andmeedastuseks chacha20 krüptimist, identsete võtmete ja mittevastavustega. Lahknevus seisneb selles, et v-2.0.4 kasutab OpenNIC-domeeni selle Command-and-Control (C2) domeeninimena. Kui RebirthLTD kasutas algselt Mirai algset koodi, läks see hiljem üle CatDDoS-i koodibaasi ja seda värskendatakse sageli.
Sisuliselt on CatDDoS-iga seotud proovid varasemate versioonidega võrreldes minimaalselt muudetud. Pöördprojekteerimise keerukuse suurendamiseks on tehtud mõningaid väiksemaid muudatusi. Seega ollakse üksmeelel, et kuigi muutused on olemas, on need suhteliselt piiratud.
CatDDoS-i robotivõrgu ründeoperatsioonides on täheldatud mitmesuguseid sihtmärke
2023. aasta oktoobri seisuga asus enamik pahavara sihtmärke Hiinas, millele järgnesid USA, Jaapan, Singapur, Prantsusmaa, Kanada, Ühendkuningriik, Bulgaaria, Saksamaa, Holland ja India.
Sellest ajast alates on teadlased täheldanud fookuse nihkumist sellistele riikidele nagu USA, Prantsusmaa, Saksamaa, Brasiilia ja Hiina. Eesmärgid hõlmavad erinevaid tööstusharusid, sealhulgas pilveteenuste pakkujaid, haridust, teadusuuringuid, teabeedastust, avalikku haldust ja ehitust.
Lisaks ChaCha20 algoritmile C2-serveriga side krüptimiseks kasutab pahavara C2 jaoks OpenNIC-domeeni – taktikat, mida varem kasutas teine Mirai-põhine DDoS-i robotvõrk, tuntud kui Fodcha. Huvitaval kombel jagab CatDDoS ChaCha20 algoritmi jaoks sama võtme/mitte-paari kolme teise DDoS-i robotvõrguga, mille nimi on hailBot, VapeBot ja Woodman.
