پژوهشگران امنیت سایبری جزئیاتی را در مورد بزرگترین Botnetی که در شش سال گذشته دیده شده، منتشر کردند. این Botnet بیش از ۱.۶ میلیون دستگاه را آلوده کرده است که اکثر آنها در چین بودهاند؛ هدف این Botnet انجام حملات DDoS و قرار دادن تبلیغات در وبسایتهای HTTP بود که کاربران بیاطلاع به آنها رجوع میکردند.
تیم امنیتی Netlab متعلق به Qihoo 360، براساس نمونهای که در ۲۱ نوامبر ۲۰۱۹ به دست آمده بود، نام این Botnet را Pink گذاشت زیرا تعداد زیادی از نامهای توابع با کلمهی Pink شروع میشد.
این Botnet که اکثراً روترهای فیبری مبتنی بر MIPS را هدف قرار داده است، از ترکیبی از سرویسهای Third-Party مثل GitHub، شبکههای peer-to-peer یا P2P و سرورهای Command-and-Control یا C2 مرکزی استفاده میکند تا Botهای آن بتوانند ارتباطات را کنترل کنند؛ همچنین بهطور کامل کانالهای مخابرات را رمزگذاری میکنند تا از اشغال شدن دستگاههای قربانی پیشگیری نمایند.
پژوهشگران در تحلیلی گفتند: Pink با شرکت سازنده در رقابت بود تا کنترل دستگاههای آلوده را بدست بگیرد. درحالیکه شرکت سازنده در تلاش بود مشکل را حل کند، Bot Master متوجه این اقدامات شد و چندین بروزرسانی Firmware را روی روترهای فیبری اعمال نمود.» این تحلیل پس از اقدام هماهنگشدهی توسط شرکت ارائهدهنده و تیم فنی/مرکز هماهنگی واکنش اضطراری شبکه کامپیوتری چین یا CNCERT/CC منتشر شد.
نکتهی جالب توجه این است که Pink از DNS-Over-HTTPS یا DoH نیز استفاده کرده است، پروتکلی که برای اجرای Domain Name System Resolution از راه دور، از طریق پروتکل HTTPS برای اتصال به یک کنترلر مشخصشده در یک فایل پیکربندی ارائه شده که از طریق GitHub یا Baidu Tieba و یا از طریق یک نام دامین که در برخی از نمونهها قرار داده شده است.
یک شرکت امنیت سایبری به نام NSFOCUS در پکن در یک گزارش مستقل نوشت که بیش از ۹۶ درصد از Zombie Nodeهای شبکهی Bot در مقیاس بسیار بزرگ در چین قرار داشتند و عامل تهدید وارد دستگاهها میشد تا با بهره بردن از آسیبپذیریهای Zero-Day در دستگاههای Gateway شبکه، برنامههای مخربی را نصب کند. با اینکه بخش قابلتوجهی از دستگاههای آلوده تعمیر شدهاند و به وضعیت قبلی خود بازگشتهاند، گفته میشود که Botnet هنوز فعال است و از حدود صدهزار Node تشکیل شده است.
با توجه به اینکه تا کنون حدود ۱۰۰ حملهی DDoS توسط این Botnet انجام شده است، نتایج نشان میدهد که Botnetها چطور میتوانند یک زیرساخت قدرتمند را برای عاملان مخرب ارائه دهند تا نفوذهای مختلفی انجام گردد. پژوهشگران NSFOCUS گفتند: دستگاههای اینترنت اشیا تبدیل به یکی از اهداف مهم سازمانهای بازار سیاه و حتی سازمانهای تهدیدات پیشرفته و مداوم یا APT شدهاند. با اینکه Pink بزرگترین Botnetی است که تا به حال کشف شده، هرگز آخرین مورد نخواهد بود.