Pink Botnet
Różowy botnet jest jednym z największych botnetów obserwowanych przez społeczność infosec w ciągu ostatnich kilku lat. Według ustaleń badaczy, Pink Botnet,w szczytowym momencie zainfekował i przejął kontrolę nad ponad 1,6 miliona urządzeń. Należy zauważyć, że cele botnetu znajdowały się w Chinachprawie wyłącznie, a około 90% zhakowanych urządzeń znajduje się w kraju. Botnet był w stanie wykorzystać luki w routerach światłowodowych opartych na MIPS.
Spis treści
Struktura
Botnet jest wspierany przez złożoną i solidną architekturę, która umożliwia atakującym sprawowanie pełnej kontroli nad złamanymi urządzeniami. Aby zapewnić dystrybucję i dostępność niezbędnych danych konfiguracyjnych, hakerzy stosują kilka różnych technik. Najpierw skorzystali z usług stron trzecich, takich jak GITHUB i chińska strona internetowa.
Dzięki hybrydowej architekturze dane konfiguracyjne Pink botnet były również dystrybuowane za pośrednictwem serwerów P2P (Peer-to-Peer) i C2 (Command-and-Control). Jedną z metod P2P jest dystrybucja P2P-Over-UDP123. Podwójny charakter zagrożenia pozwala atakującym polegać na P2P w celu dostarczania ogólnych poleceń, podczas gdy trasa C2 jest zarezerwowana do wdrażania krytycznych, wrażliwych na czas instrukcji, w tym uruchamiania ataków DDoS, wstrzykiwania reklam do dowolnych witryn HTTP odwiedzanych przez użytkowników, itp.
Groźne komendy
Botnet Pink jest w stanie rozpoznać i wykonać ponad 10 poleceń przychodzących od botmastera. W zależności od konkretnego celu atakujących, botnet może pobierać dodatkowe pliki i ładunki, wykonywać dowolne polecenia systemowe, przeprowadzać ataki DDoS, wykonywać skanowanie, aktualizować się i nie tylko. Hakerzy mogą również wykorzystać złośliwe oprogramowanie do zbierania szczegółowych informacji o urządzeniu – typie systemu, procesorze, wersji systemu, informacji o sprzęcie i pamięci.
Wytrwałość i walka z dostawcą
Szczególne możliwości botnetu Pink pozwalają mu na flashowanie oryginalnego oprogramowania układowego routera światłowodowego, który uległ naruszeniu, a następnie przepisanie go na nowy, który zawiera program do pobierania C2 i towarzyszący mu bootloader. Następnie cyberprzestępcy mają pełną kontrolę nad urządzeniem. To pozwoliło im zachować nielegalny dostęp do zainfekowanych routerówskutecznie, jednocześnie broniąc się przed kilkoma różnymi podejściami dostawcy urządzenia. W końcu dostawca musiał uciec się do wysłania dedykowanych techników, aby uzyskać dostęp do uszkodzonych routerów i albo zdemontować oprogramowanie do debugowania, albo całkowicie wymienić urządzenie.
