Phát hiện Botnet Dark Frost mới triển khai các cuộc tấn công DDoS vào ngành công nghiệp trò chơi
“Mạng botnet Dark Frost được mô phỏng theo Gafgyt, QBot, Mirai và các dòng phần mềm độc hại khác, đã mở rộng chiến dịch tấn công với hàng trăm thiết bị bị xâm nhập”, nhà nghiên cứu bảo mật Allen West của Akamai cho biết trong một bản phân tích kỹ thuật mới được chia sẻ.
Các mục tiêu bao gồm các công ty trò chơi, nhà cung cấp dịch vụ lưu trữ máy chủ trò chơi, người phát trực tuyến và thậm chí cả các thành viên cộng đồng trò chơi khác mà các tin tặc đã tương tác trực tiếp. Tính đến tháng 02/2023, mạng botnet này bao gồm 414 máy chạy các kiến trúc tập lệnh khác nhau như ARMv4, x86, MIPSEL, MIPS và ARM7.
Botnet thường được tạo thành từ một mạng lưới rộng lớn các thiết bị bị xâm nhập trên khắp thế giới. Các tin tặc có xu hướng sử dụng các máy chủ chiếm dụng được để khai thác tiền điện tử, đánh cắp dữ liệu nhạy cảm hoặc khai thác băng thông Internet chung từ các bot này để đánh sập các trang web và máy chủ Internet khác, bằng cách làm tràn ngập các mục tiêu với lưu lượng truy cập rác.
Dark Frost đại diện cho phiên bản mới nhất của một mạng botnet dường như đã được kết hợp với nhau bằng cách đánh cắp mã nguồn từ các chủng phần mềm độc hại botnet khác nhau như Mirai, Gafgyt và QBot. Theo chia sẻ từ Akamai, nhà phát triển của Dark Frost được cho là đã hoạt động ít nhất từ tháng 5/2022.
Akamai đã tiến hành phân tích mẫu botnet và sau khi gắn cờ vào ngày 28/02/2023, đã xác định khả năng tấn công của nó ở mức xấp xỉ 629,28 Gbps thông qua một cuộc tấn công UDP Flood. Đây là một trong những loại tấn công DDoS phổ biến nhất, trong đó một số lượng lớn các gói UDP được gửi đến máy chủ được mục tiêu với mục đích lấn át khả năng xử lý và phản hồi của thiết bị đó. Tường lửa bảo vệ máy chủ được nhắm mục tiêu cũng có thể trở nên cạn kiệt do tràn ngập UDP, dẫn đến việc từ chối dịch vụ đối với lưu lượng truy cập hợp pháp.
“Điều khiến Dark Frost trở nên đặc biệt là kẻ đứng sau các cuộc tấn công này đã công bố các bản ghi trực tiếp các cuộc tấn công của họ cho tất cả mọi người cùng xem”, Akamai cho biết. Ngoài ra, Dark Frost đã thiết lập thêm một kênh Discord để tạo điều kiện cho các cuộc tấn công đổi lấy tiền, cho thấy động cơ tài chính của chúng và kế hoạch biến nó thành một dịch vụ cho thuê DDoS.
Sự xuất hiện của Dark Frost trở thành một ví dụ điển hình về việc các tin tặc mới làm quen với kỹ năng mã hóa cơ bản có thể dễ dàng hành động tấn công như thế nào bằng cách sử dụng phần mềm độc hại đã có sẵn để gây thiệt hại đáng kể cho doanh nghiệp. West cho biết: “Phạm vi tiếp cận mà những kẻ tấn công này có thể đáng kinh ngạc mặc dù thiếu sự mới lạ trong kỹ thuật của chúng. Điều đáng chú ý là botnet Dark Frost vẫn có thể tích lũy hàng trăm thiết bị bị xâm nhập để thực hiện chiến dịch tấn công của mình”.
Quốc Trung
(The Hacker News)