Los investigadores de ciberseguridad de Netlab 360 revelaron detalles de lo que dicen es una super botnet ya que es la botnet más grande descubierta en los últimos seis años, infectando a más de 1,6 millones de dispositivos, la mayoría ubicados en China, con el objetivo de lanzar ataques distribuidos de denegación de servicio (DDoS) e insertar anuncios en sitios web HTTP visitados por usuarios desprevenidos.
Dirigida principalmente a routers de fibra basados en MIPS, la botnet aprovecha una combinación de servicios de terceros como GitHub, redes peer-to-peer (P2P) y servidores centrales de comando y control (C2) para que sus bots controlen las comunicaciones cifrando completamente los canales de transmisión para evitar que los dispositivos vulnerados sean recuperados.
El nombre proviene de que la muestra analizada contenía una gran cantidad de nombres de funciones que comenzaban con "Pink", por lo que el equipo que la descubrió decidió llamarla Pink botnet. Los investigadores dijeron que el codigo de la botnet se ejecutaba en paralelo con el del fabricante para mantener el control sobre los dispositivos infectados. Cuando el fabricante intentaba solucionar el poblema, el dueño de la botnet hacia cambios en tiempo real para seguir manteniendo el control del mismo.
También se ha descubierto que Pink usa DNS-Over-HTTPS (DOH), un protocolo utilizado para realizar la resolución remota de nombres de dominio a través del protocolo HTTPS, para conectarse al controlador especificado en un archivo de configuración que se entrega a través de GitHub o Baidu Tieba, o mediante un nombre de dominio integrado codificado en algunas de las muestras.
El 96% de los nodos zombies que forman parte de la botnet están en China, y el dueño de la botnet infecto los dispositivos para instalar programas maliciosos aprovechando vulnerabilidades 0-day en los dispositivos gateway de la red. Aunque una parte significativa de los dispositivos infectados se ha reparado y restaurado a su estado anterior en julio de 2020, se dice que la botnet todavía activa comprende alrededor de 100.000 nodos.
Con casi 100 ataques DDoS lanzados por la botnet hasta la fecha, los hallazgos son otra indicación de cómo las botnets pueden ofrecer una infraestructura poderosa para que los usuarios maliciosos generen multitud de ataques. “Los dispositivos de Internet de las cosas se han convertido en un objetivo importante para las organizaciones cibercriminales”, dijeron los investigadores de NSFOCUS. "Aunque Pink es la red de bots más grande jamás descubierta hasta el momento, no será la última".
Más información:
Pink, a botnet that competed with the vendor to control the massive infected devices