Исследователи кибербезопасности пролили больше света на китайского актера под кодовым названием SecShow, который, как было замечено, внедряет Систему доменных имен (DNS) в глобальном масштабе как минимум с июня 2023 года.
Злоумышленник, по словам исследователей безопасности Infoblox доктора Рене Бертон и Дейва Митчелла, действует из Китайской образовательной и исследовательской сети (CERNET), проекта, финансируемого китайским правительством.
"Эти зонды направлены на поиск и измерение ответов DNS на открытых распознавателях", - сказали они в отчете, опубликованном на прошлой неделе. "Конечная цель операций SecShow неизвестна, но собранная информация может быть использована для злонамеренных действий и предназначена только для выгоды участника".
Тем не менее, есть некоторые свидетельства, позволяющие предположить, что это могло быть связано с каким-то академическим исследованием, связанным с "выполнением измерений с использованием методов подмены IP-адресов в доменах внутри secshow.net" используя ту же технику, что и закрытый проект Resolver.
Однако это вызывает больше вопросов, чем ответов, в том числе, когда речь заходит о полном объеме проекта, цели сбора данных, выборе общего адреса Gmail для сбора отзывов и общем отсутствии прозрачности.
Открытые распознаватели относятся к DNS-серверам, которые способны рекурсивно принимать и разрешать доменные имена для любой стороны в Интернете, что делает их пригодными для использования злоумышленниками для инициирования распределенных атак типа "отказ в обслуживании" (DDoS), таких как атака с усилением DNS.
В основе зондирования лежит использование серверов имен CERNET для идентификации открытых распознавателей DNS и вычисления ответов DNS. Это влечет за собой отправку DNS-запроса от пока еще не определенного источника на открытый распознаватель, в результате чего сервер имен, контролируемый SecShow, возвращает случайный IP-адрес.
Интересным моментом является то, что эти серверы имен настроены на возврат нового случайного IP-адреса каждый раз, когда выполняется запрос из другого открытого преобразователя, поведение, которое запускает усиление запросов продуктом Palo Alto Cortex Xpanse.
"Cortex Xpanse обрабатывает доменное имя в DNS-запросе как URL и пытается получить контент со случайного IP-адреса для этого доменного имени", - объяснили исследователи. "Брандмауэры, включая Palo Alto и Check Point, а также другие устройства безопасности, выполняют фильтрацию URL-адресов, когда получают запрос от Cortex Xpanse".
Этот этап фильтрации инициирует новый DNS-запрос для домена, который заставляет сервер имен возвращать другой случайный IP-адрес.
Важно отметить, что некоторые аспекты этих действий по сканированию были ранее раскрыты Dataplane.org и исследователями Unit 42 за последние два месяца. Серверы имен SecShow больше не реагируют по состоянию на середину мая 2024 года.
SecShow является вторым участником угрозы, связанным с Китаем, после Muddling Meerkat, который проводит крупномасштабные действия по DNS-зондированию в Интернете.
"Запутанные запросы Meerkat предназначены для смешивания с глобальным DNS-трафиком и [оставались] незамеченными более четырех лет, в то время как запросы Secshow представляют собой прозрачные кодировки IP-адресов и измерительной информации", - сказали исследователи.
Ботнет Rebirth предлагает услуги DDoS-атак
Развитие событий происходит из-за того, что был обнаружен финансово мотивированный участник угрозы, рекламирующий новый ботнет-сервис под названием Rebirth для облегчения DDoS-атак.Ботнет DDoS-as-a-Service (DaaS) "основан на семействе вредоносных программ Mirai, и операторы рекламируют его услуги через Telegram и интернет-магазин (rebirthltd.mysellix[.]io)", - сообщила в недавнем анализе исследовательская группа угроз Sysdig.
Компания по кибербезопасности заявила, что Rebirth (она же Vulcan) в первую очередь ориентирована на сообщество видеоигр, сдавая ботнет в аренду другим участникам по различным ценам для нацеливания на игровые серверы с целью получения финансовой выгоды. Самые ранние свидетельства использования ботнета в дикой природе датируются 2019 годом.
Самый дешевый тарифный план, получивший название Rebirth Basic, стоит 15 долларов, в то время как уровни Premium, Advanced и Diamond стоят 47, 55 и 73 доллара соответственно. Также существует план ДОСТУПА к API Rebirth, который продается за 53 доллара.
Вредоносная программа Rebirth поддерживает функциональность для запуска DDoS-атак по протоколам TCP и UDP, таких как TCP ACK flood, TCP SYN flood и UDP flood.
Это не первый случай, когда игровые серверы становятся мишенью DDoS-ботнетов. В декабре 2022 года Microsoft раскрыла детали другого ботнета под названием MCCrash, который предназначен для атак на частные серверы Minecraft.
Затем, в мае 2023 года, Акамаи подробно рассказал о ботнете по найму для DDoS-атак, известном как Dark Frost, который, как было замечено, запускал DDoS-атаки на игровые компании, хостинг-провайдеров игровых серверов, онлайн-стримеров и даже других членов игрового сообщества.
"С помощью ботнета, такого как Rebirth, человек может выполнять DDoS-атаку на игровой сервер или других игроков в живой игре, что приводит либо к сбоям в играх, либо к задержке или сбою соединений других игроков", - сказал Sysdig.
"Это может быть финансово мотивировано для пользователей стриминговых сервисов, таких как Twitch, бизнес-модель которых основана на том, что стриминговый плеер набирает подписчиков; по сути, это обеспечивает форму дохода за счет монетизации взломанной игры".
Калифорнийская компания предположила, что потенциальные клиенты Rebirth также могут использовать ее для проведения DDoS-троллинга (он же stresser trolling), при котором запускаются атаки на игровые серверы, чтобы нарушить работу законных игроков.
Цепочки атак, распространяющие вредоносное ПО, используют известные уязвимости в системе безопасности (например, CVE-2023-25717) для развертывания bash-скрипта, который обеспечивает загрузку и выполнение вредоносного ПО DDoS-ботнета в зависимости от архитектуры процессора.
С тех пор Telegram-канал, связанный с Rebirth, был удален, чтобы удалить все старые записи, а 30 мая 2024 года было опубликовано сообщение со словами "Скоро мы вернемся [так в оригинале]". Почти три часа спустя они рекламировали пуленепробиваемый хостинг под названием "bulletproof-hosting[.]xyz".
