Novo botnet IoT denominado JenX infecta dispositivos e serviço de ataques DDoS por 20 dólares

Pesquisadores da Radware descobriram um novo botnet IoT que utiliza vulnerabilidades ligadas ao botnet Satori e está alavancando a comunidade do GTA (Grand Theft Auto) para infectar dispositivos IoT.

Satori é um derivado do Mirai, o notável botnet que em 2016, de forma infame, conseguiu derrubar o Dyn, um provedor de hospedagem DNS que suporta alguns dos maiores sites do mundo.

As vulnerabilidades em questão são as CVE-2014-8361 e CVE-2017-17215, que afetam determinados roteadores Huawei e Realtek, disse o pesquisador da Radware, Pascal Geenens em uma postagem no blog.

A investigação da Radware sobre o botnet conduziu a um servidor de comando e controle hospedado no site San Calvicie, que oferece suporte para mods multiplayer para Grand Theft Auto: San Andreas, mas também oferecem ataques DDoS por uma taxa.

Os entusiastas da venerável série de videogames, que coloca os jogadores em um mundo de violência imersivo em 3-D e emoções indiretas, criaram um extenso universo de add-ons e ajustes adicionais, ou “mods”, em nome de enriquecer e ampliar sua experiência. Sites como o San Calvicie atendem aos jogadores GTA que desejam hospedar suas próprias versões personalizadas do GTA para ação multiplayer.

“A opção Corriente Divina (‘divine stream’) é descrita como ‘a ira de Deus será empregada contra o IP que você nos forneceu'”, disse Geenens sobre a oferta de ataques DDoS do site. “Ele fornece um serviço DDoS com uma largura de banda garantida de 90-100 Gbps e vetores de ataque, incluindo Valve Source Engine Query e 32 bytes de floods, scripts TS3 e uma opção ‘Down OVH’ que provavelmente se refere a ataques visando o serviço de hospedagem da OVH, um provedor de hospedagem na nuvem que também foi vítima dos ataques originais do Mirai em setembro de 2016. A OVH é bem conhecida por hospedar servidores de jogos multi-player como o Minecraft, que era o alvo dos ataques Mirai na época.”

Pouco depois que Geenens fez sua descoberta inicial, ele retornou ao site e descobriu que os termos de engagement mudaram. Agora, a lista incluiu uma referência a “bots”, e ofereceu um volume DDoS entre 290 e 300 Gbps, pelo mesmo preço baixo de US$ 20 por disparo.

Embora derivado do código estabelecido, o botnet hospedado no San Calvicie e que Geenens apelidou de “JenX”, é implantado de maneira diferente dos seus antecessores.

“Não é típico para os botnets IoT que testemunhamos no ano passado, e este botnet usa servidores para executar a varredura e os exploits”, escreveu ele. “Quase todos os botnets, incluindo o Mirai, Hajime, Persirai, Reaper, Satori e Masuta realizam varredura e exploração distribuídos. Ou seja, cada vítima que está infectada com o malware irá realizar sua própria busca por novas vítimas. Esta varredura distribuída proporciona um crescimento exponencial do botnet, mas vem com o preço da flexibilidade e sofisticação do malware em si.”

A abordagem centralizada empregada pelo JenX negocia um crescimento mais lento para menor detecção, acrescentou.

O perigo do JenX deve ser principalmente limitado aos usuários do GTA San Andreas, disse Gessens, mas com uma advertência severa.

“Não há nada que impeça de usar o serviço barato de US$ 20 por alvo para executar ataques de 290 Gbps em alvos comerciais e até alvos relacionadas ao governo”, escreveu ele. “Não posso acreditar que o grupo de San Calvicie se oponha a isso.”

Radware arquivou notificações de abuso relacionadas ao JenX, resultando em uma queda parcial do servidor footprint do botnet, mas permanece ativa. A implementação do JenX torna a tarefa difícil.

“Como eles optaram por um paradigma central de varredura e exploit, os hackers podem facilmente mover suas operações de exploração para provedores de hospedagem que fornecem VPS anônimo e servidores dedicados de zonas offshore”, escreveu ele. “Esses provedores não se importam com o abuso. Alguns estão fornecendo serviços de hospedagem da Darknet. Se os servidores de exploração fossem movidos para a Darknet, tornaria muito mais difícil rastrear a localização dos servidores e tirá-los do ar.”