Операторы ботнета Pink атаковали более 1,6 млн устройств

Команда исследователей в области кибербезопасности Netlab Qihoo 360 сообщила о «крупнейшем ботнете», зафиксированном за последние шесть лет. Операторы ботнета Pink заразили более 1,6 млн устройств, преимущественно расположенных в Китае, с целью запуска атак типа «отказ в обслуживании» (DDoS) и размещение рекламы на HTTP-сайтах, посещаемых ничего не подозревающими пользователями.

Ботнет получил такое название из-за большого количества имен функций, начинающихся со слова «pink».

Операторы ботнета в основном нацелены на оптоволоконные маршрутизаторы на базе MIPS, и используют комбинацию сторонних сервисов, таких как GitHub, одноранговые (P2P) сети и C&C-серверы для связи ботов с контроллерами.

По словам экспертов, операторы Pink противостояли неназванному китайскому поставщику маршрутизаторов с целью сохранить контроль над зараженными устройствами, в то время как поставщик предпринимал неоднократные попытки решить проблему.

Pink также использует протокол DNS-Over-HTTPS (DoH) для выполнения удаленного разрешения системы доменных имен через HTTPS-протокол, для подключения к контроллеру, указанному в файле конфигурации, который либо доставляется через GitHub, либо через Baidu, Tieba, или через встроенное доменное имя.

Более 96% зараженных узлов ботнета были расположены в Китае, при этом злоумышленники взламывали устройства для установки вредоносных программ путем использования уязвимостей нулевого дня в сетевых шлюзах. К июлю 2020 года значительная часть устройств была очищена от вредоноса, но ботнет, как утверждается, по-прежнему активен и включает около 100 тыс. узлов.