W ostatnich tygodniach badacze bezpieczeństwa ujawnili szczegóły działania Masjesu, zaawansowanego botnetu, który funkcjonuje jako usługa DDoS-for-hire i jest aktywnie wykorzystywany w rzeczywistych atakach.
Jego początki sięgają co najmniej 2023 roku, a sam botnet funkcjonuje również pod nazwą XorBot. Najnowsze analizy pokazują, jak dojrzałym narzędziem jest Masjesu, zaprojektowanym z myślą o długotrwałym działaniu, niskiej wykrywalności oraz zwiększonej odporności na próby wyłączenia.
To kolejny sygnał zmiany w cyberprzestępczości. Masowe i często chaotyczne kampanie są stopniowo zastępowane przez bardziej precyzyjne operacje, które dzięki modelowi as a service stają się dostępne choćby dla mniej zaawansowanych atakujących.
W praktyce oznacza to, iż botnety takie jak Masjesu przestają być jedynie narzędziem do zakłócania usług, a zaczynają funkcjonować jako stabilne i rozwijane platformy cyberprzestępcze.
Czym jest botnet Masjesu
Masjesu to botnet ukierunkowany na infekowanie urządzeń IoT oraz sprzętu sieciowego, który po przejęciu staje się częścią rozproszonej infrastruktury wykorzystywanej w atakach DDoS.
Złośliwe oprogramowanie zostało zaprojektowane tak, aby działać na wielu architekturach, takich jak ARM, MIPS czy x86, co pozwala mu na infekowanie szerokiej gamy urządzeń, w tym routerów, bramek sieciowych oraz rejestratorów DVR.
Istotny element działania Masjesu to sposób jego dystrybucji i komercjalizacji. Botnet jest aktywnie reklamowany poprzez komunikator Telegram, gdzie oferuje się dostęp do usługi DDoS-for-hire. Autorzy publikują materiały promocyjne, w których chwalą się możliwościami botnetu, wskazując m.in. na zdolność do generowania ruchu o natężeniu sięgającym setek Gbps, globalnie rozproszoną infrastrukturę oraz możliwość skutecznego atakowania usług takich jak sieci CDN, serwery gier czy infrastruktura firmowa.
W przeszłości kanały powiązane z tym botnetem gromadziły tysiące użytkowników. Mimo prób ich usuwania przez cały czas pojawiają się nowe, co pokazuje skalę zainteresowania tego typu usługami.
W przeciwieństwie do starszych botnetów, jego celem nie jest szybkie budowanie jak największej liczby zainfekowanych hostów, ale utrzymanie stabilnej i trudnej do wykrycia infrastruktury, która może być wykorzystywana w dłuższym okresie.
Charakterystyka ataku
Masjesu wyróżnia się przede wszystkim zestawem technik, jakie pozwalają mu utrzymać dostęp do zainfekowanego urządzenia przez długi czas oraz znacząco utrudniają jego wykrycie i usunięcie.
Na początku Masjesu otwiera dedykowany port komunikacyjny (TCP 55988), który umożliwia atakującemu bezpośrednie połączenie z zainfekowanym urządzeniem. W przypadku niepowodzenia inicjalizacji tego mechanizmu malware natychmiast kończy działanie.
Po infekcji malware maskuje swoją obecność, podszywając się pod procesy systemowe. Nazwy plików oraz sposób działania są dobierane w taki sposób, aby nie wzbudzać podejrzeń i wyglądać jak zaufane elementy środowiska urządzenia.
Następnie tworzone są zadania cykliczne, które automatycznie uruchamiają złośliwy kod w określonych odstępach czasu. Dodatkowo malware zabezpiecza się przed próbami zatrzymania, ignorując sygnały odpowiedzialne za zakończenie procesu, co utrudnia jego wyłączenie zarówno przez użytkownika, jak i system. Konfiguracja oraz dane operacyjne są ukrywane przy użyciu mechanizmów szyfrowania, co ogranicza możliwość ich identyfikacji w trakcie analizy.
Masjesu utrzymuje komunikację z serwerem sterującym (C2), od którego odbiera zaszyfrowane polecenia dotyczące dalszego działania. Na ich podstawie zainfekowane urządzenia przeprowadzają ataki DDoS, wykorzystując m.in. protokoły TCP, UDP oraz HTTP.
Masjesu podejmuje również działania mające na celu eliminację konkurencji. Kończy działanie wybranych procesów, takich jak wget czy curl, co prawdopodobnie ma na celu uniemożliwienie innym botnetom pobierania własnych ładunków. W niektórych przypadkach całkowicie blokuje możliwość zdalnego logowania administratora do urządzenia poprzez zatrzymanie procesu sshd.
Takie podejście sprawia, iż zainfekowane urządzenie staje się stabilnym elementem infrastruktury botnetu, który może być wykorzystywany przez długi czas bez wzbudzania podejrzeń.
Wnioski i zalecenia
Masjesu wpisuje się w rosnący trend komercjalizacji cyberprzestępczości, w którym botnety nie są już jedynie narzędziem wykorzystywanym przez pojedyncze grupy, ale funkcjonują jako dostępne usługi, oferowane szerokiemu gronu odbiorców.
Botnet ten pokazuje również, jak skutecznie wykorzystywane są słabo zabezpieczone urządzenia IoT. W wielu przypadkach infekcja możliwa jest dzięki znanym podatnościom lub domyślnym danym logowania, co oznacza, iż podstawowe błędy konfiguracyjne przez cały czas stanowią jeden z głównych wektorów ataku.
Wyróżnia go podejście nastawione na długotrwałe działanie i unikanie wykrycia. Botnet celowo ogranicza swoją aktywność, unika infrastruktury wysokiego ryzyka i koncentruje się na stabilnym rozwoju swojej sieci, co zwiększa jego odporność na wyłączenie.
Podstawowe działania, takie jak regularne aktualizacje oprogramowania, eliminacja domyślnych danych logowania oraz segmentacja sieci pozostają najważniejsze w ograniczaniu ryzyka infekcji.
Równie istotne jest monitorowanie ruchu sieciowego oraz wykrywanie anomalii, które mogą wskazywać na komunikację z serwerem sterującym (C2) lub udział urządzenia w atakach DDoS. Masjesu udowadnia, iż współczesne botnety nie tylko rosną w siłę, ale również ewoluują w kierunku bardziej zorganizowanych i trudniejszych do wykrycia platform. W praktyce oznacza to, iż choćby pozornie nieistotne urządzenia mogą stać się elementem globalnych ataków o dużej skali.
