Pink Botnet
O Pink botnet é um dos maiores botnets observados pela comunidade infosec nos últimos anos. De acordo com as descobertas dos pesquisadores, o Pink Botnet, no seu pico, infectou e afirmou o controle sobre mais de 1,6 milhão de dispositivos. Deve-se notar que os alvos do botnet estavam localizados na China quase que exclusivamente, com cerca de 90% dos dispositivos comprometidos localizados no país. O botnet foi capaz de explorar vulnerabilidades em roteadores de fibra baseados em MIPS.
Índice
Estrutura
O botnet é apoiado por uma arquitetura complexa e robusta que permite que os invasores exerçam controle completo sobre os dispositivos violados. Para garantir a distribuição e disponibilidade dos dados de configuração necessários, os hackers empregam várias técnicas diferentes. Primeiro, eles aproveitaram os serviços de terceiros, como o GITHUB e um site chinês.
Graças à sua arquitetura híbrida, os dados de configuração do botnet Pink também estavam sendo distribuídos via servidores P2P (Peer-to-Peer) e C2 (Comando e Controle). Um dos métodos P2P é a distribuição P2P-Over-UDP123. A natureza dupla da ameaça permite que os invasores confiem no P2P para fornecer comandos gerais, enquanto a rota C2 é reservada para implantar instruções críticas e urgentes, incluindo o lançamento de ataques DDoS, injetando anúncios em quaisquer sites HTTP visitados pelos usuários, etc.
Comandos Ameaçadores
O Pink botnet é capaz de reconhecer e executar mais de 10 comandos recebidos do botmaster. Dependendo do objetivo específico dos invasores, o botnet pode buscar arquivos e cargas adicionais, executar comandos arbitrários do sistema, lançar ataques DDoS, realizar varreduras, atualizar-se e muito mais. Os hackers também podem usar o malware para coletar detalhes específicos do dispositivo - tipo de sistema, CPU, versão do sistema, informações de hardware e informações de memória.
Persistência e Brigas com o Vendedor
Os recursos específicos do Pink botnet permitem que ele atualize o firmware original do roteador de fibra violado e, em seguida, reescreva-o com um novo que inclui um downloader C2 e o bootloader que o acompanha. Depois disso, os cibercriminosos têm controle total sobre o dispositivo. Isso permitiu que eles mantivessem seu acesso ilegal aos roteadores infectadoscom sucesso, ao mesmo tempo em que se defendiam contra várias abordagens diferentes do fornecedor do dispositivo. No final, o fornecedor teve que recorrer ao envio de técnicos dedicados para acessar os roteadores violados e desmontar o software de depuração ou substituir a unidade por completo.
