Recentemente, un nuovo botnet chiamato Gorilla ha attirato l'attenzione degli esperti di sicurezza informatica per la sua capacità di lanciare oltre 300.000 attacchi DDoS in più di 100 paesi. Questo malware trae ispirazione dal codice sorgente del Mirai botnet, trapelato in passato, e ha dimostrato una notevole efficienza e complessità. Secondo l'azienda di sicurezza NSFOCUS, che ha identificato l'attività del botnet, Gorilla ha emesso oltre 20.000 comandi di attacco al giorno in media, colpendo settori cruciali come università, siti governativi, telecomunicazioni, banche, e il settore del gaming e delle scommesse. Tra i paesi più colpiti figurano Cina, Stati Uniti, Canada e Germania.

Tecniche di attacco DDoS

Gorilla utilizza diverse tecniche di attacco DDoS, tra cui UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood e ACK flood. La natura senza connessione del protocollo UDP consente al botnet di falsificare gli indirizzi IP di origine, generando un traffico massiccio. Il botnet è compatibile con varie architetture CPU, come ARM, MIPS, x86_64 e x86, e può connettersi a uno dei cinque server di comando e controllo (C2) predefiniti per ricevere comandi DDoS.

Sfruttamento delle vulnerabilità

Una caratteristica interessante di questo malware è la sua capacità di sfruttare una vulnerabilità di sicurezza in Apache Hadoop YARN RPC per eseguire codice da remoto. Questa falla è stata sfruttata in passato, con segnalazioni risalenti al 2021 da parte di Alibaba Cloud e Trend Micro. Per garantire la persistenza nel sistema ospite, Gorilla crea un file di servizio chiamato "custom.service" nella directory "/etc/systemd/system/", configurandolo per avviarsi automaticamente ad ogni avvio del sistema. Questo servizio è responsabile del download e dell'esecuzione di uno script shell ("lol.sh") da un server remoto ("pen.gorillafirewall[.]su"). Comandi simili vengono aggiunti ai file "/etc/inittab", "/etc/profile" e "/boot/bootcmd" per eseguire lo script all'avvio del sistema o al login dell'utente.

Metodi di evasione e crittografia

Gorilla adotta vari metodi di attacco DDoS e utilizza algoritmi di crittografia comunemente impiegati dal gruppo Keksec per nascondere informazioni chiave, dimostrando un'alta consapevolezza di evasione della rilevazione. Questo lo rende un nuovo esempio rilevante nel panorama delle botnet emergenti.