Masjesu botnet
Küberjulgeolekuanalüütikud on paljastanud spetsiaalselt hajutatud teenusetõkestusrünnakute jaoks loodud salajase botvõrgu. Masjesu nime all tuntud operatsioon on alates 2023. aastast tegutsenud tasulise DDoS-teenusena, mida reklaamitakse peamiselt Telegrami kanalite kaudu.
Massnakatmiste asemel kasutab botnet vaoshoitud ja kalkuleeritud lähenemisviisi. Selle ülesehitus rõhutab püsivust ja varjatust, vältides teadlikult kõrgetasemelisi sihtmärke, näiteks kaitseministeeriumiga seotud võrgustikke. See strateegia vähendab oluliselt avastamise ja kõrvaldamise tõenäosust, võimaldades operatsioonil aja jooksul vastu pidada.
Sisukord
Topeltidentiteet ja krüpteeritud toimingud
Masjesut nimetatakse ka XorBotiks, mis on tuletatud XOR-põhiste krüpteerimistehnikate kasutamisest. Neid meetodeid rakendatakse varjatud stringide, konfiguratsiooniandmete ja kasulike koormuste puhul, mis raskendab analüüsi ja tuvastamise jõupingutusi.
Botnet dokumenteeriti esmakordselt 2023. aasta detsembris ja see oli seotud operaatoriga nimega „synmaestro”. Juba oma esimesest ilmumisest alates näitas see selget keskendumist madala nähtavuse säilitamisele, võimaldades samal ajal ohustatud süsteemide tõhusat kaugjuhtimist.
Arsenali ja ekspluateerimisvõimaluste laiendamine
Umbes aasta hiljem täheldatud botneti uuem versioon tõi kaasa olulisi täiustusi. See hõlmas mitut käsusüstimist ja kaugkoodi käivitamist, mis olid suunatud laia valiku asjade interneti seadmete vastu, sealhulgas mitmete suurte tootjate ruuterid, kaamerad, digitaalsed videosalvestid ja võrgusalvestusseadmed.
Need uuendused hõlmasid ka spetsiaalseid mooduleid suuremahuliste DDoS-rünnakute üleujutusrünnakute teostamiseks, tugevdades selle rolli kommertsrünnakuteenusena.
Peamised võimed hõlmavad järgmist:
- Erinevate IoT riistvaraarhitektuuride haavatavuste ärakasutamine
- 12 erineva rünnakuvektori integreerimine esmaseks juurdepääsuks
- Spetsiaalsete moodulite juurutamine mahuliste DDoS-operatsioonide jaoks
Nakkuse töövoog ja püsivuse mehhanismid
Kui seade on ohustatud, käivitab pahavara struktureeritud täitmisahela, mis on loodud kontrolli säilitamiseks ja häirete vältimiseks. See loob pistikupesa, mis on seotud kõvakodeeritud TCP-pordiga (55988), võimaldades ründajaga otsest suhtlust. Kui see samm ebaõnnestub, lõpeb nakatumisprotsess kohe.
Edu korral jätkab pahavara püsivustehnikate abil, summutades lõpetamissignaale ja keelates tavalisi utiliite nagu wget ja curl, tõenäoliselt konkureeriva pahavara elimineerimiseks. Seejärel loob see ühenduse välise juhtimis- ja kontrollserveriga, et saada juhiseid ja käivitada rünnakuid määratud sihtmärkide vastu.
Eneselevi ja strateegiline sihtimine
Masjesul on iselevimise funktsioon, mis võimaldab tal skannida juhuslikke IP-aadresse haavatavate süsteemide leidmiseks. Pärast tuvastamist integreeritakse need seadmed botneti infrastruktuuri, laiendades selle operatiivvõimet.
Märkimisväärne taktika hõlmab pordi 52869 skannimist, mis on seotud Realtek SDK miniigd teenusega – meetodit, mida on varem kasutanud teised botnetid, näiteks JenX ja Satori.
Rünnakuliikluse geograafiline jaotus näitab kontsentratsiooni järgmistes valdkondades:
- Vietnam (umbes 50% vaadeldud aktiivsusest)
- Ukraina, Iraan, Brasiilia, Keenia ja India
Vaatamata agressiivsele laienemisele väldib botnet kriitiliste või tundlike organisatsioonide sihtimist. See tahtlik ohjeldamine vähendab õiguslikku vastutust ja parandab pikaajalist ellujäämisvõimet.
Kommertsialiseerimise ja kasvu strateegia
Masjesu areneb jätkuvalt struktureeritud küberkuritegevuse teenusena. Selle operaatorid reklaamivad aktiivselt oma võimekust Telegrami kaudu, positsioneerides seda skaleeritava lahendusena sisuedastusvõrkude, mängutaristu ja ettevõtte süsteemide sihtimiseks.
See sotsiaalmeedia platvormidele värbamise ja reklaami eesmärgil tuginemine on osutunud tõhusaks, võimaldades pidevat kasvu ja meelitades ligi kliendibaasi, kes on huvitatud DDoS-rünnakute käivitamisest ilma tehnilise oskusteabeta.
Kasvav ja püsiv küberoht
Tärkava botnettide perekonnana näitab Masjesu üles tugevat hoogu nii tehnilise keerukuse kui ka operatiivse laienemise osas. Selle varjatuse, sihipärase ärakasutamise ja ärilise ligipääsetavuse kombinatsioon muudab selle tänapäeva küberturvalisuse maastikul märkimisväärseks ohuks.
Püsivust nähtavuse asemel eelistades ja arenevaid rünnakutehnikaid ära kasutades jätkab botnet IoT-keskkondade imbumist ja kontrollimist kogu maailmas, minimeerides samal ajal häirete ohtu.
