Pink Botnet
La botnet Pink è una delle botnet più grandi osservate dalla comunità infosec negli ultimi anni. Secondo i risultati dei ricercatori, la Pink Botnet,al suo apice, aveva infettato e affermato il controllo su oltre 1,6 milioni di dispositivi. Va notato che gli obiettivi della rete bot si trovavano in Cinaquasi esclusivamente, con una stima del 90% dei dispositivi compromessi che si trovano nel paese. La botnet è stata in grado di sfruttare le vulnerabilità nei router in fibra basati su MIPS.
Sommario
Struttura
La botnet è supportata da un'architettura complessa e robusta che consente agli aggressori di esercitare il controllo completo sui dispositivi violati. Per garantire la distribuzione e la disponibilità dei dati di configurazione necessari, gli hacker utilizzano diverse tecniche. Innanzitutto, hanno approfittato di servizi di terze parti come GITHUB e un sito Web cinese.
Grazie alla sua architettura ibrida, i dati di configurazione della botnet Pink venivano anche distribuiti tramite server P2P (Peer-to-Peer) e C2 (Command-and-Control). Uno dei metodi P2P è la distribuzione P2P-Over-UDP123. La duplice natura della minaccia consente agli aggressori di fare affidamento su P2P per fornire comandi generali, mentre il percorso C2 è riservato all'implementazione di istruzioni critiche e sensibili al tempo, incluso il lancio di attacchi DDoS, l'inserimento di annunci pubblicitari in qualsiasi sito HTTP visitato dagli utenti, eccetera.
Comandi minacciosi
La botnet Pink è in grado di riconoscere ed eseguire oltre 10 comandi in arrivo dal botmaster. A seconda dell'obiettivo specifico degli aggressori, la botnet potrebbe recuperare file e payload aggiuntivi, eseguire comandi di sistema arbitrari, lanciare attacchi DDoS, eseguire scansioni, aggiornarsi e altro ancora. Gli hacker potrebbero anche utilizzare il malware per raccogliere dettagli specifici del dispositivo: tipo di sistema, CPU, versione del sistema, informazioni sull'hardware e informazioni sulla memoria.
Persistenza e lotta con il venditore
Le particolari capacità della botnet Pink gli consentono di eseguire il flashing del firmware originale del router in fibra violato e quindi riscriverlo con uno nuovo che include un downloader C2 e il bootloader di accompagnamento. Successivamente, i criminali informatici hanno il pieno controllo del dispositivo. Ciò ha permesso loro di mantenere il loro accesso illegale ai router infetticon successo, difendendosi anche da diversi approcci da parte del fornitore del dispositivo. Alla fine, il venditore ha dovuto ricorrere all'invio di tecnici dedicati per accedere ai router violati e smontare il software di debug o sostituire del tutto l'unità.
