Fodcha Botnet

Fodcha Botnet Beskrivelse

Et nytt botnett ved navn Fodcha vokser raskt, ved å inkludere sårbare enheter i sin hær av roboter. Operatørene av botnettet har brukt det til å starte DDoS-angrep (Distributed Denial-of-Service) mot mer enn hundre ofre hver dag. Aktivitetene til trusselen ble identifisert av forskerne ved Qihoo 360s Network Security Research Lab (360 Netlab), og ifølge deres estimater har Fodcha spredt seg til over 62 000 enheter i perioden mellom 29. mars og 10. april 2022.

Fodcha er avhengig av N-dagers sårbarheter, samt brute-force-taktikker for å kompromittere de målrettede enhetene, som inkluderer rutere, DVR-er og servere. Mer spesifikt er noen av modellene som botnettet er rettet mot Realtek Jungle SDK, MVPower DVR, LILIN DVR, TOTOLINK, ZHONE-rutere og andre. De målrettede arkitekturene inkluderer MIPS, MPSL, ARM, x86 og mer. For sine brute-force-forsøk bruker Fodcha et crackingverktøy kjent som Crazyfia.

Det skal bemerkes at operatørene av Fodcha-botnettet ble tvunget til å bytte Command-and-Control (C2, C&C)-servere etter at deres første skyleverandør tok dem ned. Den andre infrastrukturen opererer fra fridgexperts[.]cc og er tilordnet over 12 IP-er. Videre er den distribuert mellom flere land over hele verden, inkludert Korea, Japan, India og USA. For å unngå et lignende utfall som den første iterasjonen, bruker trusselaktørene flere skyleverandører som Amazon, DigitalOCean, Linode, DediPath og flere.