Угрожающие ботнеты могут быть созданы с небольшим опытом работы с кодом, считает Akamai
1 июня 2023 г.Ботнеты, особенно ботнеты по найму, снижают планку доступа к технологиям для тех, кто хочет запускать распределенные атаки типа «отказ в обслуживании» или DDoS, проводить операции по добыче криптовалюты, создавать эксплойты для рассылки спама и другие гнусные приложения. Ботнеты также становятся проще в создании и развертывании, потому что, как и в случае законной разработки программного обеспечения, вредоносные ботнеты могут быть созданы с использованием существующих кодовых баз.
Одним из примеров того, как мало требуется технической сложности, является ботнет, названный Dark Frost исследователями веб-сервисов Akamai. Несмотря на то, что Dark Frost использует собранный код из старых ботнетов, он использовал более 400 скомпрометированных устройств для эксплойтов.
По словам Аллена Уэста, исследователя безопасности из команды Akamai Security Intelligence Response, финансово мотивированный актор нацелен на игровые платформы.
SEE: Akamai изучает поддельные сайты и уязвимости API (TechRepublic)
«Очень важно, чтобы сообщество безопасности начало признавать таких деятелей низкого уровня, как эти, в младенчестве, прежде чем они перерастут в серьезные угрозы», — написал Уэст в блоге об атаке, добавив, что Dark Frost нетрудно отследить из-за их поиск внимания.
Согласно исследованию Уэста и других исследователей, изучающих социальные сети и Reddit, актеру, стоящему за ботнетом Dark Frost, вероятно, около 20 лет, и он утверждает, что работал разработчиком пару лет. Они говорят, что этот человек, вероятно, базируется в США и вряд ли связан с государственным деятелем. По словам Уэста и исследователей, хотя этот актер, вероятно, является одним человеком, он, вероятно, взаимодействует с небольшой группой, чтобы поделиться кодом.
Перейти к:
- Игровые платформы стали мишенью для хакеров, ищущих внимания
Монетизация DDoS
Чтобы сделать Dark Frost, просто добавьте кодовые базы и смешайте
Снижение планки ботнета
Игровые платформы стали мишенью для хакеров, ищущих внимания
По словам исследователей Akamai, ботнет Dark Frost в первую очередь нацелен на различные сегменты игровой индустрии, включая компании, провайдеров хостинга игровых серверов, онлайн-стримеров и других членов игрового сообщества.
Уэст отметил, что игры — это легкая мишень, а аудитория у них большая. По его словам, рост числа моддеров (людей, которые модифицируют коммерческие игры, чтобы сделать их более привлекательными и актуальными) на пользовательских серверах делают их мишенями, потому что у них мало средств защиты и обычно они не платят за крупномасштабную защиту.
ПОСМОТРЕТЬ: Как Google борется с DDoS-угрозами (TechRepublic)
«Они начинают бороться с [киберугрозами] в индустрии пользовательских моддингов, и есть несколько бесплатных вариантов безопасности с открытым исходным кодом, но эти субъекты не нацелены на те, которые, по их мнению, имеют хорошую защиту», — сказал Уэст TechRepublic.
Монетизация DDoS
Актер Dark Frost сосредоточился на продаже инструмента как DDoS-атаки по найму, отметил Akamai, который также сказал, что тот же актер продавал его как инструмент для рассылки спама.
«Это не первая их игра такого рода», — сказал Уэст, отметив, что актер Dark Frost продает его на Discord. «Он принимал там заказы и даже публиковал скриншоты того, что, по их словам, было их банковским счетом».
Чтобы сделать Dark Frost, просто добавьте кодовые базы и смешайте
Ботнет Dark Frost использует код печально известного ботнета Mirai. Уэст сказал, что, хотя существуют гораздо более крупные ботнеты, ботнет Dark Frost показывает, что можно сделать всего с 400 взломанными устройствами.
«Автор Mirai выложил исходный код на всеобщее обозрение, и я думаю, что это положило начало и стимулировало тенденцию других авторов вредоносного ПО делать то же самое или исследователей безопасности публиковать исходный код, чтобы вызвать доверие», — сказал Уэст. . «Некоторые люди думают, что DDoS-атаки ушли в прошлое, но они все еще наносят ущерб».
По словам Akamai, ботнет:
- Создан по образцу Gafgyt, Qbot, Mirai и других штаммов вредоносных программ и расширен, чтобы охватить сотни скомпрометированных устройств.
Имеет потенциал атаки примерно 629,28 Гбит/с при UDP-флуд-атаках.
Является символом того, как с исходным кодом от ранее успешных штаммов вредоносных программ и генерацией кода ИИ кто-то с минимальными знаниями может запускать ботнеты и вредоносное ПО.
Снижение планки ботнета
Уэст сказал TechRepublic, что кодовые базы для ботнетов и эксплойтов, которые, как известно, эффективны, легко получить.
«В общедоступных репозиториях легко найти вредоносное ПО, которое эффективно работало в прошлом, и собрать что-то вместе с минимальными усилиями», — сказал он. «Dark Frost — идеальный пример; и то, как нагло они говорят об этом, только добавляет картине человека, который на самом деле не понимает, что делает, или последствий своих действий».
Он сказал, что актер, стоящий за Dark Frost, фактически объявил, что они продают нелегальные услуги.
«Это слава, ищущая деньги, ищущая славы. Если мы посмотрим на все поступающие вредоносные программы, эта застряла, потому что он буквально подписал ее, и я нашел восемь различных платформ социальных сетей, рассказывающих об этих атаках», — сказал Уэст.
Главный вывод, по словам Уэста, заключается в том, что с минимальными усилиями автору Dark Frost удалось нанести ущерб, и он стремится организовать злоумышленников для расширения возможностей эксплойта.
«Охранные компании и просто компании в целом должны начать распознавать эти угрозы в зачаточном состоянии, чтобы остановить их в будущем, когда это станет еще более серьезной проблемой», — сказал он.
Оригинал