В последние полгода исследователи из Akamai наблюдают рост числа DDoS-атак с ботнетов, построенных на основе хорошо известного Linux-троянца BillGates. Сами бот-сети, по данным CDN-провайдера, сильно выросли и в настоящее время способны генерировать трафик свыше 100 Гбит/с как самостоятельно, так и в тандеме с фреймворками, предоставляемыми как услуга.

По свидетельству Akamai, о BillGates интернет-сообщество впервые узнало в феврале 2014 года благодаря публикации на Habrahabr.ru. Спустя несколько месяцев в блоге Securelist «Лаборатории Касперского» были представлены результаты анализа образцов BillGates.

Как оказалось, этот зловред имеет модульную архитектуру — два основных компонента, детектируемые антивирусами ИБ-компании как Backdoor.Linux.Ganiw, и несколько почти одинаковых экземпляров троянца с упрощенным функционалом (Backdoor.Linux.Mayday). Тогда же было установлено, что BillGates способен обеспечивать проведение DDoS-атак по типу SYN flood, UDP flood, DNS flood, ICMP flood, а также атак с DNS-плечом.

В начале 2015 года исследователи из IBM зафиксировали резкий рост активности серверного ботнета BillGates: в феврале — до 18 тыс. инцидентов в сутки, в мае — до 8 тыс. И теперь, спустя год, Akamai вновь напомнила об актуальности этой угрозы, подчеркнув, что таких ботнетов может быть множество.

Дело в том, что BillGates продается на хакерских форумах в виде билдера, позволяющего создавать кастомные версии троянца. Кроме того, эксперты подозревают, что этого зловреда взяли на вооружение операторы XOR DDoS — до недавнего времени весьма результативного ботнета, способного генерировать мусорный трафик свыше 150 Гбит/с.

В четвертом квартале прошлого года этот XOR-ботнет практически исчез с радаров Akamai. Эксперты полагают, что причиной тому — успех операции по его уничтожению, о которой в январе сообщил сторонний китайский источник. Akamai также отметила сходство мишеней XOR DDoS и BillGates: это в основном игровые сайты, базирующиеся в азиатских странах.

Категории: DoS-атаки