Pink Botnet
Le botnet Pink est l'un des plus grands botnets observés par la communauté infosec au cours des dernières années. Selon les conclusions des chercheurs, le Pink Botnet,à son apogée, avait infecté et pris le contrôle de plus de 1,6 million d'appareils. A noter que les cibles du botnet étaient situées en Chinepresque exclusivement, avec environ 90 % des appareils compromis se trouvant dans le pays. Le botnet a pu exploiter les vulnérabilités des routeurs à fibre optique basés sur MIPS.
Table des matières
Structure
Le botnet est soutenu par une architecture complexe et robuste qui permet aux attaquants d'exercer un contrôle complet sur les appareils violés. Pour assurer la distribution et la disponibilité des données de configuration nécessaires, les pirates utilisent plusieurs techniques différentes. Tout d'abord, ils ont profité de services tiers tels que GITHUB et d'un site Web chinois.
Grâce à son architecture hybride, les données de configuration du botnet Pink étaient également distribuées via des serveurs P2P (Peer-to-Peer) et C2 (Command-and-Control). L'une des méthodes P2P est la distribution P2P-Over-UDP123. La double nature de la menace permet aux attaquants de s'appuyer sur le P2P pour fournir des commandes générales, tandis que la route C2 est réservée au déploiement d'instructions critiques et urgentes, notamment le lancement d'attaques DDoS, l'injection de publicités dans tous les sites HTTP visités par les utilisateurs, etc.
Commandes menaçantes
Le botnet Pink est capable de reconnaître et d'exécuter plus de 10 commandes entrantes du botmaster. Selon l'objectif spécifique des attaquants, le botnet pourrait récupérer des fichiers et des charges utiles supplémentaires, exécuter des commandes système arbitraires, lancer des attaques DDoS, effectuer des analyses, se mettre à jour et plus encore. Les pirates pourraient également utiliser le logiciel malveillant pour collecter des détails spécifiques sur l'appareil - type de système, processeur, version du système, informations sur le matériel et informations sur la mémoire.
Persistance et combat avec le vendeur
Les capacités particulières du botnet Pink lui permettent de flasher le micrologiciel d'origine du routeur à fibre optique endommagé, puis de le réécrire avec un nouveau qui comprend un téléchargeur C2 et le chargeur de démarrage associé. Par la suite, les cybercriminels ont un contrôle total sur l'appareil. Cela leur a permis de conserver leur accès illégal aux routeurs infectésavec succès, tout en se défendant contre plusieurs approches différentes du fournisseur de l'appareil. En fin de compte, le fournisseur a dû recourir à l'envoi de techniciens dédiés pour accéder aux routeurs endommagés et soit désassembler le logiciel de débogage, soit remplacer complètement l'unité.
