Команда исследователей Netlab Qihoo 360 сообщает, что обнаружила «крупнейший ботнет» за последние шесть лет. Малварь Pink уже заразила более 1,6 миллиона устройств, преимущественно расположенных в Китае (96%).
Эти боты используются операторами ботнета для DDoS-атак и внедрения рекламы на HTTP-сайты. Сообщается, что на сегодняшний день ботнетом было осуществлено не менее 100 DDoS-атак.
По информации специалистов, Pink активен с ноября 2019 года. В основном малварь атакует MIPS-маршрутизаторы и использует в работе различные сторонние сервисы, включая GitHub, а также P2P и централизованные C&C-серверы для связи ботов с операторами и передачи команд. Также Pink применяет DNS-Over-HTTPS для подключения к серверу, указанному в файле конфигурации, который либо доставляется посредством GitHub или Baidu Tieba (порой доменное имя и вовсе жестко закодировано).
«Операторы Pink боролись с поставщиком за контроль над зараженными устройствами: тогда как поставщик предпринимал неоднократные попытки исправить проблему, мастер-бот обнаруживал действия поставщика в режиме реального времени и неоднократно делал соответствующие обновления прошивки маршрутизаторов», — рассказывают аналитики.
По данным другой китайской компании, NSFOCUS, малварь распространяется благодаря эксплуатации 0-day уязвимостей в сетевых девайсах. И хотя на сегодня значительная часть таких устройств была исправлена и восстановлена до предыдущего состояния, ботнет по-прежнему активен и состоит не менее чем из 100 000 устройств.