Fodcha Botnet

Fodcha Botnet Descrizione

Una nuova botnet chiamata Fodcha sta crescendo rapidamente, incorporando dispositivi vulnerabili nel suo esercito di bot. Gli operatori della botnet l'hanno utilizzata per lanciare attacchi DDoS (Distributed Denial-of-Service) contro più di cento vittime ogni giorno. Le attività della minaccia sono state identificate dai ricercatori del Network Security Research Lab (360 Netlab) di Qihoo 360 e, secondo le loro stime, Fodcha si è diffuso a oltre 62.000 dispositivi nel periodo compreso tra il 29 marzo e il 10 aprile 2022.

Fodcha si affida alle vulnerabilità di N-day, nonché a tattiche di forza bruta per compromettere i suoi dispositivi presi di mira, che includono router, DVR e server. Più nello specifico, alcuni dei modelli a cui è rivolta la botnet sono Realtek Jungle SDK, MVPower DVR, LILIN DVR, TOTOLINK, ZHONE router e altri. Le architetture mirate includono MIPS, MPSL, ARM, x86 e altro. Per i suoi tentativi di forza bruta, Fodcha utilizza uno strumento di cracking noto come Crazyfia.

Va notato che gli operatori della botnet Fodcha sono stati costretti a cambiare i loro server Command-and-Control (C2, C&C) dopo che il loro fornitore di cloud iniziale li ha eliminati. La seconda infrastruttura opera da fridgexperts[.]cc ed è mappata su oltre 12 IP. Inoltre, è distribuito in diversi paesi del mondo tra cui Corea, Giappone, India e Stati Uniti. Per evitare un risultato simile alla prima iterazione, gli attori delle minacce utilizzano più fornitori di cloud come Amazon, DigitalOCean, Linode, DediPath e altri.