CatDDoS robottīkls
Pētnieki, kas analizē aktīvākos galvenos DDoS robottīklus, ir ziņojuši par CatDDoS saistīto kibergangu uzbrukumu darbības pieaugumu. Izmeklēšanas laikā ekspertiem izdevās apstiprināt, ka kibernoziedznieki ir izmantojuši vairāk nekā 80 ievainojamības, lai tikai trīs mēnešu laikā apdraudētu mērķa ierīces. Turklāt ir novērots, ka maksimālais mērķu skaits pārsniedz 300+ dienā. Uzbrucēju mērķis ir iefiltrēties ievainojamajās ierīcēs un nolaupīt tās, lai kļūtu par daļu no robottīkla, kas paredzēts izplatīto pakalpojumu atteikuma (DDoS) uzbrukumu veikšanai.
Satura rādītājs
Kibernoziedznieki ļaunprātīgi izmanto daudzas ievainojamības, lai nodrošinātu CatDDoS robottīklu
Šīs ievainojamības ietekmē plašu ierīču klāstu, tostarp maršrutētājus, tīkla aprīkojumu un citu aparatūru, ko piegādā dažādi pārdevēji, piemēram, Apache (ActiveMQ, Hadoop, Log4j un RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel un citi. Pētnieki ir norādījuši, ka noteiktas ievainojamības joprojām nav identificētas, iespējams, ir 0 dienu ievainojamības īpašos apstākļos.
CatDDoS pamatā ir bēdīgi slavenais Mirai robottīkls
Pats CatDDoS ir Mirai variants kopš tā pirmsākumiem. Tā nosaukums cēlies no vārdu “kaķis” un “ņau” iekļaušanas agrīnajos domēna nosaukumos un paraugos, kas norāda uz tā radītāja radniecību pret kaķu tēmām. Sākotnēji 2023. gada augustā, jaunākajās CatDDoS iterācijās ir minimālas komunikācijas metožu izmaiņas, salīdzinot ar iepriekšējām versijām.
Pētnieku vidū ir spekulācijas, ka CatDDoS varētu būt slēgts pagājušā gada beigās. Tomēr draudu avota kodu vai nu pārdeva tā veidotāji, vai arī tas tika nopludināts neatkarīgi. Līdz ar to ir radušās jaunas iterācijas, piemēram, RebirthLTD, Komaru, Cecilio Network, cita starpā.
Vairākas kibernoziedznieku grupas ir izveidojušas savus CatDDoS robottīkla variantus
Lai gan dažādas grupas var pārraudzīt dažādas CatDDoS robottīkla iterācijas, koda struktūrā, sakaru protokolos, virkņu modeļos, atšifrēšanas metodoloģijās un citos aspektos ir minimālas atšķirības. Līdz ar to pētnieki ir apvienojuši šos variantus vienotā klasterī, kas pazīstams kā ar CatDDoS saistītās bandas.
Starp jaunākajiem aktīvajiem variantiem ir v-2.0.4 (CatDDoS) un v-Rebirth (RebirthLTD), abos datu pārraidei tiek izmantota chacha20 šifrēšana ar identiskām atslēgām un atslēgām. Neatbilstība ir saistīta ar v-2.0.4 OpenNIC domēna izmantošanu kā tā Command-and-Control (C2) domēna nosaukumu. Lai gan RebirthLTD sākotnēji izmantoja Mirai sākotnējo kodu, vēlāk tas pārgāja uz CatDDoS kodu bāzi un tiek bieži atjaunināts.
Būtībā ar CatDDoS saistītajos paraugos ir veiktas minimālas izmaiņas, salīdzinot ar iepriekšējām versijām. Ir ieviesti daži nelieli pielāgojumi, lai palielinātu reversās inženierijas sarežģītību. Tādējādi vienprātība ir tāda, ka, lai gan izmaiņas pastāv, tās ir salīdzinoši ierobežotas.
CatDDoS robottīkla uzbrukuma operācijās novērots daudzveidīgs mērķu kopums
2023. gada oktobrī lielākā daļa ļaunprogrammatūras skarto mērķu atradās Ķīnā, kam sekoja ASV, Japāna, Singapūra, Francija, Kanāda, Apvienotā Karaliste, Bulgārija, Vācija, Nīderlande un Indija.
Kopš tā laika pētnieki ir novērojuši fokusa maiņu uz tādām valstīm kā ASV, Francija, Vācija, Brazīlija un Ķīna. Mērķi aptver dažādas nozares, tostarp mākoņpakalpojumu sniedzējus, izglītību, zinātnisko pētniecību, informācijas pārraidi, valsts pārvaldi un būvniecību.
Proti, papildus ChaCha20 algoritma izmantošanai saziņas ar C2 serveri šifrēšanai, ļaunprogrammatūra izmanto OpenNIC domēnu C2 — šo taktiku iepriekš izmantoja cits uz Mirai balstīts DDoS robottīkls, kas pazīstams kā Fodcha. Interesanti, ka CatDDoS ChaCha20 algoritmam ir vienāds atslēgas/neviens pāris ar trim citiem DDoS robottīkliem ar nosaukumu hailBot, VapeBot un Woodman.
