Fodcha Botnet

O nouă rețea botnet numită Fodcha crește rapid, prin încorporarea dispozitivelor vulnerabile în armata sa de roboți. Operatorii botnet-ului l-au folosit pentru a lansa atacuri DDoS (Distributed Denial-of-Service) împotriva a peste o sută de victime în fiecare zi. Activitățile amenințării au fost identificate de cercetătorii de la Qihoo 360 Network Security Research Lab (360 Netlab) și, conform estimărilor lor, Fodcha s-a extins la peste 62.000 de dispozitive pentru perioada cuprinsă între 29 martie și 10 aprilie 2022.

Fodcha se bazează pe vulnerabilitățile N-day, precum și pe tactici de forță brută pentru a-și compromite dispozitivele vizate, care includ routere, DVR și servere. Mai precis, unele dintre modelele către care se adresează botnet-ul sunt Realtek Jungle SDK, MVPower DVR, LILIN DVR, TOTOLINK, routerele ZHONE și altele. Arhitecturile vizate includ MIPS, MPSL, ARM, x86 și multe altele. Pentru încercările sale de forță brută, Fodcha utilizează un instrument de cracare cunoscut sub numele de Crazyfia.

Trebuie remarcat faptul că operatorii rețelei botnet Fodcha au fost forțați să-și schimbe serverele Command-and-Control (C2, C&C) după ce furnizorul lor inițial de cloud le-a desființat. A doua infrastructură funcționează din fridgexperts[.]cc și este mapată la peste 12 IP-uri. În plus, este distribuit în mai multe țări din întreaga lume, inclusiv Coreea, Japonia, India și SUA. Pentru a evita un rezultat similar cu prima iterație, actorii amenințărilor folosesc mai mulți furnizori de cloud, cum ar fi Amazon, DigitalOCean, Linode, DediPath și alții.