Zaktualizowano złośliwe oprogramowanie DDoSia, dodając szyfrowanie

Według firmy zajmującej się cyberbezpieczeństwem Sekoia, twórcy narzędzia ataku DDoSia wprowadzili nową wersję, która zawiera inną metodę uzyskiwania listy celów, które mają być bombardowane śmieciowymi żądaniami HTTP. Zaktualizowany wariant, napisany w języku Golang, zawiera dodatkowe środki bezpieczeństwa w celu ukrycia przesyłanej listy celów przed systemem dowodzenia i kontroli dla użytkowników.

Sekoia wspomniał, że DDoSia jest przypisywana prorosyjskiej grupie hakerów znanej jako NoName(057)16. Początkowo uruchomiony w 2022 roku jako następca botnetu Bobik, DDoSia jest przeznaczony do przeprowadzania rozproszonych ataków typu „odmowa usługi” skierowanych głównie na lokalizacje w Europie, Australii, Kanadzie i Japonii.

Ataki latem 2023 r. celują w kraje europejskie

W okresie od 8 maja do 26 czerwca 2023 r. państwami najbardziej dotkniętymi atakami DDoSia były Litwa, Ukraina, Polska, Włochy, Czechy, Dania, Łotwa, Francja, Wielka Brytania i Szwajcaria. W sumie 486 różnych stron internetowych doświadczyło tego wpływu.

DDoSia została zaimplementowana w Pythonie i Go, dzięki czemu jest programem wieloplatformowym, który może działać w systemach Windows, Linux i macOS. SentinelOne w analizie opublikowanej w styczniu 2023 roku opisał DDoSia jako wielowątkową aplikację, która przeprowadza ataki typu „odmowa usługi” poprzez wielokrotne wysyłanie żądań sieciowych na podstawie instrukcji otrzymanych z pliku konfiguracyjnego uzyskanego z serwera C2.

Dystrybucja DDoSia odbywa się za pośrednictwem zautomatyzowanego procesu w Telegramie, w którym osoby fizyczne mogą zarejestrować się w ramach inicjatywy crowdsourcingowej, dokonując płatności w kryptowalucie i otrzymując archiwum ZIP zawierające zestaw narzędzi do ataku.

Godnym uwagi aspektem nowej wersji jest wykorzystanie szyfrowania do zaciemnienia listy celów do zaatakowania, co sugeruje, że operatorzy aktywnie utrzymują narzędzie.

Dlaczego Golang stał się popularnym narzędziem wśród twórców złośliwego oprogramowania?

Golang, znany również jako Go, zyskał popularność jako język programowania do tworzenia złośliwego oprogramowania z kilku powodów. Oto sparafrazowana odpowiedź:

Golang, czyli Go, stał się popularnym narzędziem do tworzenia złośliwego oprogramowania z kilku powodów. Po pierwsze, Go oferuje przejrzystą i zwięzłą składnię, która jest łatwa do zrozumienia i napisania, co czyni go atrakcyjną opcją dla programistów, w tym tych, którzy mają złośliwe zamiary. Jego prostota i wydajność umożliwiają szybkie tworzenie i wdrażanie złośliwego oprogramowania.

Ponadto Go zapewnia wbudowane funkcje, które przyczyniają się do ukrywania się i odporności złośliwego oprogramowania. Na przykład oferuje silną obsługę współbieżności, umożliwiając złośliwemu oprogramowaniu wykonywanie wielu zadań jednocześnie, co utrudnia wykrywanie i łagodzenie skutków. Go oferuje również solidne funkcje sieciowe, które są niezbędne, aby złośliwe oprogramowanie mogło komunikować się z serwerami dowodzenia i kontroli lub przeprowadzać różne złośliwe działania.

Innym czynnikiem przyczyniającym się do popularności Go w tworzeniu złośliwego oprogramowania jest jego zdolność do kompilacji w samodzielne pliki binarne. Oznacza to, że złośliwe oprogramowanie napisane w Go nie wymaga zewnętrznych zależności ani środowisk wykonawczych, dzięki czemu jest bardziej przenośne i łatwiejsze do dystrybucji w różnych systemach operacyjnych bez problemów ze zgodnością.