Эксперты Arbor Networks обнаружили новый, более мощный вариант бота-самоделки (DIY, do-it-yourself) Dirt Jumper, предназначенного для проведения DDoS-атак. Обновленный тулкит в компании нарекли Drive, используя имя, часто встречающееся в URL хостов, на которых подняты серверы для управления этим зловредом.

Насколько известно, опасная новинка пока не имеет хождения на черном рынке. Проведенный Arbor анализ показал, что авторы DDoS‑бота обновили движок и по мощности он превосходит своих предшественников, а также обладает большим потенциалом. Drive поддерживает атаки по типу HTTP flood, IP flood и UDP flood, использует новый формат команд и поменял алгоритм шифрования «приватных» данных. По свидетельству экспертов, DDoS-атаки с участием обновленного бота отличаются большей мощностью и продолжительностью, при этом один ботнет может одновременно удерживать свыше 60 мишеней.

Arbor удалось обнаружить 15 уникальных командных серверов Drive. Один из них трудился онлайн не менее трех месяцев — почти рекордный срок для семейства Dirt Jumper. В активный период на этом C&C-сервере фиксировалось в среднем 1,5 тыс. запросов, а на пике — более 2 тыс. Как оказалось, этот центр управления способен избирательно блокировать подключения из конкретных географических зон, что создает определенные проблемы при мониторинге. «С этого C&C проводилась атака на иностранные финансовые организации, однако недавно этот веб-сервер по всем признакам вновь ушел в офлайн. Вполне возможно, что он просто перенес список разрешенных мишеней на другой географический сегмент», — отмечают исследователи.

По данным Arbor, за последние пару месяцев Drive «осуществил многочасовые атаки на известный онлайн-ритейлер, поисковую систему, популярный новостной security-сайт и несколько зарубежных финансовых институтов». Прежние версии Dirt Jumper использовались в основном для проведения хактивистских акций. В 2011 году с его участием были осуществлены DDoS-атаки на российские игровые и служебные сайты, а позднее, перед выборами президента РФ, — на российские СМИ.

Похоже, что авторы Drive, самой продвинутой версии Dirt Jumper, устранили все недостатки, подмеченные исследователями в его предыдущих вариациях. В прошлом году эксперты Prolexic нашли уязвимость в командной инфраструктуре Dirt Jumper, позволяющую наблюдать и блокировать текущую DDoS-атаку. Многие тогда сочли, что авторы Dirt Jumper исчерпали свои возможности. Появление новой, доработанной итерации данного бота не преминет возродить его популярность в криминальных кругах.

Категории: DoS-атаки, Вредоносные программы