Różowy botnet, od 1,6 miliona botów do 100 000 zainfekowanych urządzeń

Różowy botnet to niebezpieczny projekt, który po raz pierwszy zidentyfikowano w 2020 r. Jednak w ciągu ostatnich kilku miesięcy szybko się rozrósł. W rzeczywistości przez krótki czas Pink Botnet był jednym z największych tego typu botnetów. Na szczęście jego rozmiar został znacznie zmniejszony dzięki wspólnemu wysiłkowi badaczy cyberbezpieczeństwa i organów ścigania. Niestety, projekt nie jest jeszcze w pełni nieaktywny, a jego operatorzy mogą wkrótce spróbować przywrócić mu dawną „chwałę”.

W szczytowym okresie swojej działalności Pink Botnet zniewolił ponad 1,6 miliona urządzeń, z których większość znajdowała się w Chinach. Celem przestępców były głównie routery światłowodowe, które były podatne na określone rodzaje ataków i exploitów. Najbardziej interesującą częścią operatorów Pink Botnet jest to, że szybko zajęli się wszelkimi łatami, które wydali producenci urządzeń. Oznacza to, że aktualizowali swoje implanty w locie, aby mogli obejść najnowsze środki bezpieczeństwa wprowadzone przez oprogramowanie układowe.

Jak był używany różowy botnet?

Ten konkretny projekt koncentrował się na atakach polegających na oszustwach reklamowych i rozproszonej odmowie usługi (DDoS). Pierwsza z nich polegała na manipulowaniu ruchem użytkowników i umieszczaniu reklam w odwiedzanych przez nich witrynach. Z drugiej strony, możliwości DDoS mogły również zostać wynajęte temu, kto zaoferuje najwyższą cenę. Wszystkie zniewolone urządzenia były sterowane za pomocą zdalnych poleceń wysyłanych przez serwer kontrolny napastników.

Oprócz kampanii DDoS i oszustw reklamowych operatorzy Pink Botnet mogli również zrobić więcej z zainfekowanymi urządzeniami. Mieli możliwość pobierania i wykonywania plików, pobierania informacji o systemie, aktualizowania ładunku i wykonywania zdalnych poleceń systemowych.

Rozmiar różowego botnetu został znacznie zmniejszony, ale nadal istnieje ponad 100 000 zainfekowanych i aktywnych urządzeń. Najlepszym sposobem ochrony urządzeń podłączonych do Internetu przed takimi atakami jest korzystanie z aktualnej zapory i oprogramowania antywirusowego, stosowanie najnowszych aktualizacji oprogramowania układowego oraz używanie silnych danych logowania.