Исследователи в области кибербезопасности рассказали о «самом большом» ботнете за последние шесть лет, активно участвующем в реальных кибератаках. В общей сложности этот ботнет подчинил себе более 1,6 миллионов устройств и использует их для DDoS-атак.
Имя выдающейся киберугрозы — «Pink». Помимо DDoS, операторы ботнета внедряют рекламные объявления в веб-страницы HTTP-сайтов, а для связи используют сторонние сервисы вроде GitHub, 2P2-сети, а также C2-серверы. Причём каналы обмена информацией полностью зашифрованы.
«Операторы Pink постоянно борются с вендорами за контроль над заражёнными устройствами. Пока разработчики пытаются пофиксить проблему, киберпреступники замечают эти попытки и оперативно накатывают обновления прошивки», — пишут специалисты в отчёте.
Интересно, что Pink также прибегает к DNS-Over-HTTPS (DoH) при соединении с контроллером, указанном в файле конфигурации. Сам файл доставляется либо с помощью GitHub или Baidu Tieba, либо через домен, жёстко закодированный в образцах вредоноса.
В отчёте NSFOCUS отмечается, что 96% поражённых ботнетом узлов располагаются в Китае. Для взлома устройств жертв злоумышленники используют уязвимости нулевого дня. На сегодняшний день Pink запустил около 100 DDoS-атак.
