Botnet Masjesu
Analitycy cyberbezpieczeństwa odkryli wysoce tajny botnet zaprojektowany specjalnie do rozproszonych ataków typu DoS (Distributed Denial of Service). Operacja ta, znana jako Masjesu, krążyła od 2023 roku jako usługa DDoS na zlecenie, promowana głównie za pośrednictwem kanałów Telegram.
Zamiast dążyć do masowych infekcji, botnet stosuje powściągliwe i przemyślane podejście. Jego konstrukcja kładzie nacisk na trwałość i ukrycie, celowo unikając celów o dużym znaczeniu, takich jak sieci powiązane z Departamentem Obrony. Ta strategia znacznie zmniejsza prawdopodobieństwo wykrycia i unieszkodliwienia, co pozwala na długotrwałą działalność.
Spis treści
Podwójna tożsamość i szyfrowane operacje
Masjesu jest również nazywany XorBotem, co wywodzi się z zastosowania technik szyfrowania opartych na XOR. Metody te są stosowane do niejasnych ciągów znaków, danych konfiguracyjnych i ładunków, co komplikuje analizę i wykrywanie.
Botnet został po raz pierwszy udokumentowany w grudniu 2023 roku i powiązany z operatorem znanym jako „synmaestro”. Od samego początku jego istnienia wyraźnie koncentrował się na utrzymaniu niskiej widoczności, umożliwiając jednocześnie skuteczną zdalną kontrolę nad zainfekowanymi systemami.
Rozszerzanie arsenału i możliwości eksploatacyjnych
Nowsza wersja botnetu, zaobserwowana około rok później, wprowadziła znaczące udoskonalenia. Zastosowano w niej wiele exploitów umożliwiających wstrzykiwanie poleceń i zdalne wykonywanie kodu, ukierunkowanych na szeroką gamę urządzeń Internetu Rzeczy, w tym routery, kamery, rejestratory DVR i NVR od kilku czołowych producentów.
Aktualizacje te obejmują również specjalne moduły do przeprowadzania ataków DDoS o dużej objętości, wzmacniając jego rolę jako komercyjnej usługi ataków.
Kluczowe możliwości obejmują:
- Wykorzystanie luk w zabezpieczeniach różnych architektur sprzętowych IoT
- Integracja 12 różnych wektorów ataku w celu uzyskania dostępu początkowego
- Wdrożenie specjalistycznych modułów do obsługi wolumetrycznych operacji DDoS
Przepływ pracy związany z infekcją i mechanizmy trwałości
Po zainfekowaniu urządzenia złośliwe oprogramowanie inicjuje ustrukturyzowany łańcuch wykonywania, którego celem jest utrzymanie kontroli i zapobieganie ingerencji. Tworzy gniazdo powiązane z zakodowanym na stałe portem TCP (55988), umożliwiając bezpośrednią komunikację z atakującym. Jeśli ten krok się nie powiedzie, proces infekcji zostaje natychmiast przerwany.
W przypadku powodzenia, złośliwe oprogramowanie kontynuuje działanie, wykorzystując techniki utrwalania, tłumiąc sygnały zakończenia i wyłączając popularne narzędzia, takie jak wget i curl, co prawdopodobnie eliminuje konkurencyjne złośliwe oprogramowanie. Następnie łączy się z zewnętrznym serwerem poleceń i kontroli, aby odbierać instrukcje i przeprowadzać ataki na wyznaczone cele.
Samodzielne propagowanie i strategiczne targetowanie
Masjesu jest wyposażony w funkcję samorozprzestrzeniania, która umożliwia mu skanowanie losowych adresów IP w poszukiwaniu podatnych systemów. Po zidentyfikowaniu, urządzenia te są włączane do infrastruktury botnetu, zwiększając jego możliwości operacyjne.
Jedną z godnych uwagi taktyk jest skanowanie portu 52869 powiązanego z usługą miniigd pakietu Realtek SDK. Jest to metoda wykorzystywana wcześniej przez inne botnety, np. JenX i Satori.
Rozkład geograficzny ruchu ataków wskazuje na koncentrację w:
- Wietnam (około 50% obserwowanej aktywności)
- Ukraina, Iran, Brazylia, Kenia i Indie
Pomimo agresywnej ekspansji, botnet unika atakowania organizacji krytycznych lub wrażliwych. To celowe ograniczenie ryzyka prawnego i zwiększenie długoterminowej odporności.
Strategia komercjalizacji i rozwoju
Masjesu stale ewoluuje jako ustrukturyzowana usługa zwalczania cyberprzestępczości. Jej operatorzy aktywnie promują jej możliwości za pośrednictwem Telegrama, pozycjonując ją jako skalowalne rozwiązanie do ataków na sieci dostarczania treści, infrastrukturę gier i systemy korporacyjne.
Poleganie na platformach mediów społecznościowych w celach rekrutacyjnych i reklamowych okazało się skuteczne, umożliwiając stały wzrost i przyciągając bazę klientów zainteresowanych przeprowadzaniem ataków DDoS bez konieczności posiadania wiedzy technicznej.
Rosnące i trwałe zagrożenie cybernetyczne
Jako rozwijająca się rodzina botnetów, Masjesu wykazuje silną dynamikę zarówno pod względem zaawansowania technicznego, jak i ekspansji operacyjnej. Połączenie umiejętności stealth, ukierunkowanej eksploatacji i komercyjnej dostępności czyni go znaczącym zagrożeniem w nowoczesnym krajobrazie cyberbezpieczeństwa.
Dzięki priorytetowemu traktowaniu trwałości kosztem widoczności i wykorzystywaniu rozwijających się technik ataków botnet nieustannie infiltruje i kontroluje środowiska IoT na całym świecie, minimalizując jednocześnie ryzyko zakłóceń.
