Эксперты проникли внутрь «олдскульного» IRC-ботнета и пообщались с его оператором

20 ноября 2020 года

Специалисты портала CyberNews проникли в инфраструктуру IRC-ботнета и даже смогли пообщаться с его оператором. Тем не менее, когда они попросили киберпреступника об официальном интервью, он оборвал с ними связь. 26 октября нынешнего года исследователи передали все полученные данные специалистам CERT Вьетнама, где расположен C&C-сервер ботнета. В настоящее время вьетнамская CERT работает над ликвидацией ботсети.

Для своего исследования команда CyberNews выбрала один из четырех ботнетов, попавшихся в их ханипот Cowrie в сентябре нынешнего года. Общаясь с его оператором, исследователи попытались выяснить, для чего используется ботнет, и участвуют ли его операторы в другой киберпреступной деятельности.

В ханипот исследователей попал вредоносный файл, содержащий скрипт Perl для выполнения удаленных команд на атакуемой системе. Как показал анализ вредоноса, он был создан в 2012 году ныне уже несуществующей хакерской группировкой w0rmer Security Team, предположительно связанной с движением Anonymous. Исследователи заинтересовались вредоносом, поскольку он предназначен для добавления зараженных систем в IRC-ботнет. Некогда популярные IRC-ботнеты сейчас встречаются очень редко, и их сравнительно легко отключить.

Как показал анализ кода, вредонос способен осуществлять DDoS-атаки через UDP, TCP, HTTP и другие протоколы. Исследователям также удалось выявить IP-адрес и номер порта C&C-сервера, псевдоним оператора ботнета и IRC-канал, использующийся для управления ботами.

В общей сложности ботсеть состоит из 137 скомпрометированных систем (максимальное количество ботов составляло 241). Другими словами, IRC-ботнет небольшой и, по всей вероятности, может использоваться только для осуществления небольших DDoS-атак или других вредоносных действий в небольших масштабах.

Во время общения с оператором через Discord исследователи выяснили, что ботнет используется им для DDoS-атак, а также для «тестирования», «бэкдоров» и «денег». Судя по всему, с его помощью киберпреступник тестировал вредоносное ПО и экспериментировал с внедрением и развертыванием различных эксплоитов на скомпрометированных системах.

Уверенный, будто общается с коллегами-киберпреступниками, оператор начал хвастаться тем, что одно время управлял IoT-ботнетом из 100 тыс. устройств, с помощью которого мог осуществлять масштабные DDoS-атаки. По его словам, именно он осуществил нашумевшую атаку на DNS-провайдера Dyn в 2016 году, из-за которой были недоступны множество сайтов в США и Европе, в том числе Twitter, Reddit, Netflix и CNN. Правда, никаких доказательств киберпреступник не представил.

На вопрос о его текущей деятельности оператор ботнета ответил, что собирает сеть из скомпрометированных устройств и намерен продать их за $3 тыс. Киберпреступник даже прислал рекламный ролик, и исследователи обнаружили на YouTube дополнительные видео с рекламой его ботнетов. Тем не менее, узнав, с кем он общается на самом деле, киберпреступник прекратил отвечать на вопросы исследователей.