Servery Minecraftu pod útokem: Microsoft varuje před DDoS botnetem napříč platformami

Společnost Microsoft upozornila na multiplatformní botnet, který je primárně určen k provádění distribuovaných útoků typu DDoS (distributed denial-of-service) na soukromé servery Minecraft.

Botnet s názvem MCCrash se vyznačuje jedinečným mechanismem, který mu umožňuje šířit se na zařízeních se systémem Linux, přestože pochází ze škodlivého softwaru staženého na hostitelských počítačích se systémem Windows.

Společnost Microsoft ve své zprávě uvedla, že se botnet šíří pomocí výčtu výchozích přihlašovacích údajů na zařízeních s podporou protokolu SSH (Secure Shell) vystavených internetu. „Protože zařízení internetu věcí jsou běžně povolena pro vzdálenou konfiguraci s potenciálně nezabezpečeným nastavením, mohou být tato zařízení ohrožena útoky, jako je tento botnet.“

To také znamená, že malware by mohl na zařízeních IoT přetrvávat i po odstranění z infikovaného zdrojového počítače. Oddělení kybernetické bezpečnosti technologického giganta sleduje tyto aktivity pod označením DEV-1028.

Většina infekcí byla zaznamenána v Rusku a v menší míře v Kazachstánu, Uzbekistánu, na Ukrajině, v Bělorusku, Česku, Itálii, Indii, Indonésii, Nigérii, Kamerunu, Mexiku a Kolumbii. Přesný rozsah kampaně společnost nezveřejnila. Výchozím bodem infekce botnetu je soubor počítačů, které byly kompromitovány instalací nástrojů pro crackování. Tyto nástroje měly poskytovat nelegální licence systému Windows.

Multiplatformní botnet DDoS

Tento software následně slouží jako kanál pro spuštění workloadu v jazyce Python, který obsahuje základní funkce botnetu, včetně skenování linuxových zařízení s podporou SSH za účelem spuštění slovníkového útoku.

Po prolomení hostitele se systémem Linux pomocí metody šíření je stejný workload nasazen ke spuštění příkazů DDoS, z nichž jeden je speciálně nastaven na zhroucení serverů Minecraft („ATTACK_MCCRASH“).

Společnost Microsoft popsala tuto metodu jako „vysoce účinnou“ a poznamenala, že je pravděpodobně nabízena jako služba na undergroundových fórech.

Meziplatformní botnet DDoS

„Tento typ hrozby zdůrazňuje, že je důležité zajistit, aby organizace spravovaly, aktualizovaly a monitorovaly nejen tradiční koncové body, ale také zařízení IoT, která jsou často méně zabezpečená,“ uvedli výzkumníci David Atch, Maayan Shaul, Mae Dotan, Yuval Gordon a Ross Bevington.

Tato zjištění přicházejí několik dní poté, co laboratoře Fortinet FortiGuard Labs odhalily podrobnosti o novém botnetu s názvem GoTrim, u kterého bylo pozorováno, že se snaží vynutit si prolomení samostatně hostovaných webových stránek WordPress.

Zdroj: The Hacker News