Pink Botnet
Het Pink-botnet is een van de grootste botnets die de afgelopen jaren door de infosec-gemeenschap is waargenomen. Volgens de bevindingen van de onderzoekers, de Pink Botnet,op zijn hoogtepunt, meer dan 1,6 miljoen apparaten had geïnfecteerd en de controle had uitgeoefend. Opgemerkt moet worden dat de doelen van het botnet zich in China bevondenbijna uitsluitend, met naar schatting 90% van de gecompromitteerde apparaten zich in het land. Het botnet kon misbruik maken van kwetsbaarheden in op MIPS gebaseerde glasvezelrouters.
Inhoudsopgave
Structuur
Het botnet wordt ondersteund door een complexe en robuuste architectuur waarmee aanvallers volledige controle kunnen uitoefenen over de gehackte apparaten. Om de distributie en beschikbaarheid van de benodigde configuratiegegevens te garanderen, passen de hackers verschillende technieken toe. Ten eerste maakten ze gebruik van diensten van derden, zoals GITHUB en een Chinese website.
Dankzij de hybride architectuur werden de configuratiegegevens van Pink botnet ook verspreid via P2P (Peer-to-Peer) en C2 (Command-and-Control) servers. Een van de P2P-methoden is P2P-Over-UDP123-distributie. Door de dubbele aard van de dreiging kunnen aanvallers vertrouwen op P2P voor het leveren van algemene opdrachten, terwijl de C2-route is gereserveerd voor het implementeren van kritieke, tijdgevoelige instructies, waaronder het lanceren van DDoS-aanvallen, het injecteren van advertenties op HTTP-sites die door gebruikers worden bezocht, enzovoort.
Dreigende commando’s
Het Pink botnet is in staat om meer dan 10 inkomende commando's van de botmaster te herkennen en uit te voeren. Afhankelijk van het specifieke doel van de aanvallers, kan het botnet extra bestanden en payloads ophalen, willekeurige systeemopdrachten uitvoeren, DDoS-aanvallen lanceren, scans uitvoeren, zichzelf bijwerken en meer. De hackers kunnen de malware ook gebruiken om specifieke apparaatdetails te verzamelen: systeemtype, CPU, systeemversie, hardware-informatie en geheugeninformatie.
Volharding en strijd met de verkoper
Dankzij de specifieke mogelijkheden van het Pink-botnet kan het de originele firmware van de kapotte glasvezelrouter flashen en deze vervolgens herschrijven met een nieuwe die een C2-downloader en de bijbehorende bootloader bevat. Daarna hebben de cybercriminelen de volledige controle over het apparaat. Hierdoor konden ze hun illegale toegang tot de geïnfecteerde routers behoudenmet succes, terwijl het zich ook verdedigt tegen verschillende benaderingen van de leverancier van het apparaat. Uiteindelijk moest de verkoper zijn toevlucht nemen tot het sturen van toegewijde technici om toegang te krijgen tot de gehackte routers en ofwel de foutopsporingssoftware te demonteren of de eenheid helemaal te vervangen.
