Gigantische PinkBot ontdekt in het wild

In november 21, 2021 onderzoekers van 360NetLab hebben een staal genomen van het grootste waargenomen botnet. Het kreeg de naam Pink vanwege zijn functies die beginnen met het woord roze. Tijdens piekuren had PinkBot controle over 1.6 miljoen apparaten waarvan de meeste (96%) gevestigd in China. Met een zeer robuuste architectuur richt het zich voornamelijk op op mips gebaseerde glasvezelrouters. Botnet gebruikt een combinatie van services van derden, P2P en centrale C2's voor zijn 'bots om de communicatie te regelen. Met een absolute verificatie van de C2-communicatie zorgt het ervoor dat Botnet-knikken niet gemakkelijk kunnen worden losgekoppeld of overgenomen.

Het grootste botnet zou controle kunnen krijgen over 1.6 miljoen apparaten

Op 30 november, 2019 niet nader genoemde beveiligingspartner informeerde de 360NetLab dat ze ontdekten 1,962,308 unieke dagelijkse actieve IP's van dit botnet die ze raken. Researchers’ own observance showed the number of 1.65 miljoen. De meeste concentratie vond plaats in China (96%) zich verspreiden over 33 provincies. De getroffen providers zijn onder meer China Telecom (>15%) en China Unicom (>80%).

Uit de gegevens die in tal van dimensies zijn berekend, zoals NetFlow-gegevens, actief peilen, en realtime monitoring, het aantal Bot node IP-adressen dat met dit botnet is verbonden, overtreft 5 miljoen. Aangezien breedband-IP's voor thuisgebruik dynamisch worden toegewezen, de juiste grootte van de geïnfecteerde apparaten erachter kan niet precies worden berekend, en er wordt aangenomen dat het werkelijke aantal geïnfecteerde apparaten in de miljoenen loopt.

“One of the main bases of the measurement is that the number of IPs connected to C2 in one minute was well over one million,” according to a report by National Computer Network Emergency Response Technical Team/Coordination Center of China (CNCERT/CC).

De PinkBot-sporen op Github

Onderzoekers hebben de PinkBot getraceerd tot oktober 16, 2018. Op dat moment hadden de makers een pink78day-account op Github. Nu heeft de aanvaller het account gesloten. Momenteel mypolo111 aangemaakt eind november 2019 bestaat op Github. De hacker kan in een oogwenk een account wijzigen door gewoon een nieuw transactierecord toe te voegen aan zijn BTC-portemonnee. Je kunt het account dus niet zomaar blokkeren. U moet de opgegeven BTC-portemonnee blokkeren om de PinkBot te verstoren. De aanvaller gebruikte ook een Chinese website om het Botnet te verspreiden met logica vergelijkbaar met het Github-project.

een botnet (afkorting voor "robotnetwerk") betekent een netwerk van computers die zijn geïnfecteerd met malware waarover een enkele partij op afstand controle kan krijgen. Elke individuele machine in de besturing heet bot. Een aanvaller kan bots opdracht geven om verschillende criminele acties uit te voeren. Meestal bevat het: DDoS-aanvallen, gerichte inbraken, e-mail spam en financiële inbreuk. Behalve dat hackers zelfs toegang kunnen huren tot delen van hun botnet op de zwarte markt.