Pink Botnet
La botnet Pink es una de las botnets más grandes observadas por la comunidad de seguridad de información en los últimos años. Según los hallazgos de los investigadores, Pink Botnet,en su apogeo, había infectado y afirmado el control de más de 1,6 millones de dispositivos. Cabe señalar que los objetivos de la botnet estaban ubicados en China.casi exclusivamente, con un estimado del 90% de los dispositivos comprometidos ubicados en el país. La botnet pudo aprovechar las vulnerabilidades en los enrutadores de fibra basados en MIPS.
Tabla de contenido
Estructura
La botnet está respaldada por una arquitectura compleja y robusta que permite a los atacantes ejercer un control completo sobre los dispositivos violados. Para garantizar la distribución y disponibilidad de los datos de configuración necesarios, los piratas informáticos emplean varias técnicas diferentes. Primero, aprovecharon servicios de terceros como GITHUB y un sitio web chino.
Gracias a su arquitectura híbrida, los datos de configuración de la botnet Pink también se distribuían a través de servidores P2P (Peer-to-Peer) y C2 (Command-and-Control). Uno de los métodos P2P es la distribución P2P-Over-UDP123. La naturaleza dual de la amenaza permite a los atacantes confiar en P2P para entregar comandos generales, mientras que la ruta C2 está reservada para implementar instrucciones críticas y urgentes, incluido el lanzamiento de ataques DDoS, inyectando anuncios en cualquier sitio HTTP visitado por los usuarios. etc.
Comandos Amenazantes
La botnet Pink es capaz de reconocer y ejecutar más de 10 comandos entrantes del botmaster. Dependiendo del objetivo específico de los atacantes, la botnet podría recuperar archivos y cargas útiles adicionales, ejecutar comandos arbitrarios del sistema, lanzar ataques DDoS, realizar escaneos, actualizarse y más. Los piratas informáticos también podrían usar el malware para recopilar detalles específicos del dispositivo: tipo de sistema, CPU, versión del sistema, información de hardware e información de memoria.
Persistencia y Lucha con el Vendedor
Las capacidades particulares de la botnet Pink le permiten actualizar el firmware original del enrutador de fibra violado y luego reescribirlo con uno nuevo que incluye un descargador C2 y el cargador de arranque que lo acompaña. Posteriormente, los ciberdelincuentes tienen control total sobre el dispositivo. Esto les permitió conservar su acceso ilegal a los enrutadores infectados.con éxito, al mismo tiempo que se defiende contra varios enfoques diferentes del proveedor del dispositivo. Al final, el proveedor tuvo que recurrir al envío de técnicos dedicados para acceder a los enrutadores violados y desensamblar el software de depuración o reemplazar la unidad por completo.
