Fodcha Botnet

Un nouveau botnet nommé Fodcha se développe rapidement, en incorporant des appareils vulnérables dans son armée de bots. Les opérateurs du botnet l'ont utilisé pour lancer des attaques DDoS (Distributed Denial-of-Service) contre plus d'une centaine de victimes chaque jour. Les activités de la menace ont été identifiées par les chercheurs du Network Security Research Lab de Qihoo 360 (360 Netlab) et, selon leurs estimations, Fodcha s'est propagé à plus de 62 000 appareils pour la période du 29 mars au 10 avril 2022.

Fodcha s'appuie sur des vulnérabilités N-day, ainsi que sur des tactiques de force brute pour compromettre ses appareils ciblés, qui comprennent des routeurs, des DVR et des serveurs. Plus précisément, certains des modèles visés par le botnet sont Realtek Jungle SDK, MVPower DVR, LILIN DVR, TOTOLINK, routeurs ZHONE et autres. Les architectures ciblées incluent MIPS, MPSL, ARM, x86 et plus encore. Pour ses tentatives de force brute, Fodcha utilise un outil de craquage connu sous le nom de Crazyfia.

Il convient de noter que les opérateurs du botnet Fodcha ont été contraints de changer leurs serveurs de commande et de contrôle (C2, C&C) après que leur fournisseur de cloud initial les ait supprimés. La deuxième infrastructure fonctionne à partir de fridgexperts[.]cc et est mappée sur plus de 12 adresses IP. De plus, il est distribué dans plusieurs pays à travers le monde, dont la Corée, le Japon, l'Inde et les États-Unis. Pour éviter un résultat similaire à la première itération, les acteurs de la menace utilisent davantage de fournisseurs de cloud tels qu'Amazon, DigitalOCean, Linode, DediPath et plus encore.