Fodcha-botnet

Fodcha-botnet Kuvaus

Uusi Fodcha-niminen bottiverkko kasvaa nopeasti sisällyttämällä haavoittuvia laitteita robottiarmeijaansa. Bottiverkon operaattorit ovat käyttäneet sitä käynnistääkseen DDoS-hyökkäyksiä (Distributed Denial-of-Service) yli sataa uhria vastaan päivittäin. Uhan toiminnan tunnistivat Qihoo 360:n Network Security Research Labin (360 Netlab) tutkijat ja heidän arvioidensa mukaan Fodcha on levinnyt yli 62 000 laitteeseen ajalla 29.3.-10.4.2022.

Fodcha luottaa N-päivän haavoittuvuuksiin sekä raa'an voiman taktiikoihin vaarantaakseen kohdelaitteet, joihin kuuluvat reitittimet, DVR:t ja palvelimet. Tarkemmin sanottuna jotkut mallit, joihin botnet on suunnattu, ovat Realtek Jungle SDK, MVPower DVR, LILIN DVR, TOTOLINK, ZHONE-reitittimet ja muut. Kohdennettuihin arkkitehtuureihin kuuluvat MIPS, MPSL, ARM, x86 ja paljon muuta. Raakavoimayritykseensä Fodcha käyttää Crazyfia-nimistä krakkaustyökalua.

On syytä huomata, että Fodcha-botnet-operaattorit joutuivat vaihtamaan Command-and-Control (C2, C&C) -palvelimiaan sen jälkeen, kun heidän alkuperäinen pilvitoimittajansa oli poistanut ne. Toinen infrastruktuuri toimii fridgexperts[.]cc:n avulla ja se on kartoitettu yli 12 IP:lle. Lisäksi sitä jaetaan useisiin maihin ympäri maailmaa, mukaan lukien Korea, Japani, Intia ja Yhdysvallat. Välttääkseen samanlaisen lopputuloksen kuin ensimmäisessä iteraatiossa uhkatoimijat käyttävät enemmän pilvipalveluntarjoajia, kuten Amazon, DigitalOCean, Linode, DediPath ja muita.