Los investigadores de ciberseguridad han arrojado más luz sobre un actor chino con nombre en código SecShow al que se ha observado realizando un sistema de nombres de dominio (DNS) a escala global desde al menos junio de 2023.
El adversario, según los investigadores de seguridad de Infoblox, Dr. Renée Burton y Dave Mitchell, opera desde la Red de Educación e Investigación de China (CERNET), un proyecto financiado por el gobierno chino.
«Estas sondas buscan encontrar y medir respuestas DNS en resolutores abiertos», afirman. dicho en un informe publicado la semana pasada. «Se desconoce el objetivo final de las operaciones de SecShow, pero la información que se recopila puede usarse para actividades maliciosas y es sólo para el beneficio del actor».
Los resolutores abiertos se refieren a servidores DNS que son capaces de aceptar y resolver nombres de dominio de forma recursiva para cualquier parte en Internet, lo que los hace aptos para ser explotados por malos actores para iniciar una denegación de servicio distribuida (DDoS) ataques como un Ataque de amplificación de DNS.
En el centro de las investigaciones está el uso de servidores de nombres CERNET para identificar solucionadores de DNS abiertos y calcular las respuestas de DNS. Esto implica enviar una consulta DNS desde un origen aún indeterminado a un solucionador abierto, lo que hace que el servidor de nombres controlado por SecShow devuelva una dirección IP aleatoria.
En un giro interesante, estos servidores de nombres están configurados para devolver una nueva dirección IP aleatoria cada vez que la consulta se realiza desde un solucionador abierto diferente, un comportamiento que desencadena una amplificación de las consultas por parte del producto Palo Alto Cortex Xpanse.
«Cortex Xpanse trata el nombre de dominio en la consulta DNS como una URL e intenta recuperar contenido de la dirección IP aleatoria para ese nombre de dominio», explicaron los investigadores. «Los cortafuegos, incluidos Palo Alto y Check Point, así como otros dispositivos de seguridad, realizan filtrado de URL cuando reciben la solicitud de Cortex Xpanse».
Este paso de filtrado inicia una nueva consulta de DNS para el dominio que hace que el servidor de nombres devuelva una dirección IP aleatoria diferente.
Es importante tener en cuenta que algunos aspectos de estas actividades de escaneo fueron divulgados previamente por Dataplane.org e investigadores de la Unidad 42 durante los últimos dos meses. Los servidores de nombres de SecShow ya no responden a mediados de mayo de 2024.
SecShow es el segundo actor de amenazas vinculado a China, después de Muddleling Meerkat, que realiza actividades de sondeo de DNS a gran escala en Internet.
«Las confusas consultas de Meerkat están diseñadas para mezclarse con el tráfico DNS global y [have] permanecieron desapercibidos durante más de cuatro años, mientras que las consultas de Secshow son codificaciones transparentes de direcciones IP e información de medición», dijeron los investigadores.
Rebirth Botnet ofrece servicios DDoS
El desarrollo se produce cuando se descubrió que un actor de amenazas con motivación financiera anunciaba un nuevo servicio de botnet llamado Rebirth para ayudar a facilitar ataques DDoS.
La botnet DDoS-as-a-Service (DaaS) está «basada en la familia de malware Mirai, y los operadores anuncian sus servicios a través de Telegram y una tienda en línea (rebirthltd.mysellix[.]io),», el equipo de investigación de amenazas de Sysdig dicho en un análisis reciente.
La firma de ciberseguridad dijo que Rebirth (también conocido como Vulcan) se centra principalmente en la comunidad de videojuegos, alquilando la botnet a otros actores a varios precios para apuntar a servidores de juegos para obtener ganancias financieras. La evidencia más temprana del uso de la botnet en estado salvaje data de 2019.
El plan más barato, denominado Rebirth Basic, cuesta $15, mientras que los niveles Premium, Advanced y Diamond cuestan $47, $55 y $73 respectivamente. También hay un plan Rebirth API ACCESS que se vende por $53.
El malware Rebirth admite la funcionalidad para lanzar ataques DDoS a través de protocolos TCP y UDP, como Inundación de ACK de TCP, Inundación TCP SYNy inundación UDP.
Esta no es la primera vez que los servidores de juegos son atacados por botnets DDoS. En diciembre de 2022, Microsoft reveló detalles de otra botnet llamada MCCrash que está diseñada para apuntar a servidores privados de Minecraft.
Luego, en mayo de 2023, Akamai detalló un Botnet de alquiler de DDoS conocido como Dark Frost que se ha observado lanzando ataques DDoS contra empresas de juegos, proveedores de alojamiento de servidores de juegos, transmisores en línea e incluso otros miembros de la comunidad de juegos.
«Con una botnet como Rebirth, un individuo puede realizar DDoS al servidor del juego o a otros jugadores en un juego en vivo, provocando que los juegos fallen y se ralenticen o que las conexiones de otros jugadores se retrasen o bloqueen», dijo Sysdig.
«Esto puede tener una motivación financiera para los usuarios de servicios de streaming como Twitch, cuyo modelo de negocio se basa en que un reproductor de streaming gane seguidores; esto esencialmente proporciona una forma de ingresos a través de la monetización de un juego roto».
La compañía con sede en California postuló que los clientes potenciales de Rebirth también podrían estar usándolo para llevar a cabo trolling DDoS (también conocido como trolling estresante), en el que se lanzan ataques contra servidores de juegos para interrumpir la experiencia de los jugadores legítimos.
Las cadenas de ataques que distribuyen el malware implican la explotación de fallas de seguridad conocidas (por ejemplo, CVE-2023-25717) para implementar un script bash que se encarga de descargar y ejecutar el malware de botnet DDoS según la arquitectura del procesador.
El canal de telegramas Desde entonces, asociado con Rebirth se ha borrado para eliminar todas las publicaciones antiguas, con un mensaje publicado el 30 de mayo de 2024 que dice «Pronto volveremos [sic].» Casi tres horas después, anunciaron un servicio de alojamiento a prueba de balas llamado «alojamiento a prueba de balas».[.]xyz.»