Botnets DDoS sequestram dispositivos Zyxel para lançar ataques devastadores
21 de Julho de 2023

Várias botnets de negação de serviço distribuído (DDoS) foram observadas explorando uma falha crítica nos dispositivos Zyxel que veio à luz em abril de 2023 para obter controle remoto dos sistemas vulneráveis.

"Através da captura do tráfego de exploração, o endereço IP do atacante foi identificado e foi determinado que os ataques estavam ocorrendo em várias regiões, incluindo América Central, América do Norte, Leste da Ásia e Sul da Ásia", disse a pesquisadora da Fortinet FortiGuard Labs, Cara Lin.

A falha, rastreada como CVE-2023-28771 (pontuação CVSS: 9.8), é um bug de injeção de comando que afeta vários modelos de firewalls que potencialmente poderiam permitir a um ator não autorizado executar código arbitrário enviando um pacote específicamente criado para o aparelho visado.

No mês passado, a Fundação Shadowserver alertou que a falha estava sendo "ativamente explorada para construir uma botnet semelhante ao Mirai" pelo menos desde 26 de maio de 2023, indicando como o abuso de servidores que executam software sem patch está aumentando.

As últimas descobertas da Fortinet sugerem que a falha está sendo aproveitada oportunisticamente por vários atores para invadir hosts suscetíveis e agrupá-los em uma botnet capaz de lançar ataques DDoS contra outros alvos.

Isso inclui variantes de botnets Mirai, como o Dark.IoT e outra botnet que foi apelidada de Katana por seu autor, que vem com capacidades de montar ataques DDoS usando protocolos TCP e UDP.

"Parece que esta campanha utilizou vários servidores para lançar ataques e se atualizou em poucos dias para maximizar o comprometimento de dispositivos Zyxel", disse Lin.

A revelação acontece enquanto o Cloudflare relatou um "alarmante aumento na sofisticação dos ataques DDoS" no segundo trimestre de 2023, com atores de ameaças inventando novas maneiras de evadir a detecção "imitando habilidosamente o comportamento do navegador" e mantendo suas taxas de ataque por segundo relativamente baixas.

Acrescentando à complexidade está o uso de ataques de lavagem de DNS para ocultar tráfego malicioso via resolvedores recursivos de DNS confiáveis e botnets de máquinas virtuais para orquestrar ataques DDoS hiper-volumétricos.

"Em um ataque de lavagem de DNS, o ator da ameaça consultará subdomínios de um domínio que é gerenciado pelo servidor DNS da vítima", explicou o Cloudflare.

"O prefixo que define o subdomínio é randomizado e nunca é usado mais de uma ou duas vezes em tal ataque."

"Devido ao elemento de randomização, os servidores DNS recursivos nunca terão uma resposta em cache e precisarão encaminhar a consulta para o servidor DNS autoritativo da vítima.

O servidor DNS autoritativo então é bombardeado por tantas consultas até que não consiga atender consultas legítimas ou até mesmo cai por completo."

Outro fator notável que contribui para o aumento das ofensivas DDoS é o surgimento de grupos hacktivistas pró-russos, como KillNet, REvil e Anonymous Sudan (também conhecido como Storm-1359) que têm focado esmagadoramente em alvos nos EUA e na Europa.

Não há evidências para conectar o REvil ao conhecido grupo de ransomware.

A "criação regular e absorção de novos grupos pela KillNet é pelo menos parcialmente uma tentativa de continuar a atrair a atenção da mídia ocidental e de aumentar o componente de influência de suas operações", disse a Mandiant em uma nova análise, acrescentando que o direcionamento do grupo tem "consistentemente alinhado com as prioridades geopolíticas russas estabelecidas e emergentes".

"A estrutura, liderança e capacidades da KillNet passaram por várias mudanças observáveis ao longo dos últimos 18 meses, progredindo para um modelo que inclui novos grupos afiliados de maior perfil destinados a chamar a atenção para suas marcas individuais, além da marca mais ampla da KillNet", acrescentou ainda.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...