Исследователи Microsoft обнаружили ботнет Windows-Linux, уничтожающий Minecraft серверы в категории «высокоэффективный» ДДоС атаки.
Как сообщает АрсТехника (откроется в новой вкладке)ботнет MCCrash отправляет команду, которая заполняет диалоговое окно ввода имени пользователя на странице входа в систему сервера Minecraft, что приводит к сбою сервера из-за исчерпания его ресурсов.
«Использование переменной env запускает использование Лог4дж 2, которая вызывает аномальное потребление системных ресурсов (не связанное с [the] Уязвимость Log4Shell), демонстрируя специфический и высокоэффективный метод DDoS», — пишут исследователи Microsoft.
Огромный охват ботнета MCCrash
Microsoft также отметила, что MCCrash может привести к сбою серверов, на которых запущены самые разные версии серверного программного обеспечения игры.
Здесь все становится немного сложнее: сам MCCrash жестко закодирован только для целевой версии 1.12.2, но техники атаки достаточно, чтобы вывести из строя серверы с версиями 1.7.2–1.18.2, что АрсТехника оценки составляет около половины всех сервисов Minecraft, работающих сегодня.
Исправление серверное программное обеспечение версии 1.9 делает технику ботнета неэффективной, но даже без этого Microsoft рада, что влияние ботнета ограничено.
«Широкий спектр серверов Minecraft, находящихся под угрозой, подчеркивает влияние этого вредоносное ПО мог бы иметь, если бы он был специально закодирован для воздействия на версии после 1.12.2», — написали исследователи Microsoft.
«Уникальная способность этой угрозы использовать устройства Интернета вещей (IoT), которые часто не контролируются как часть ботнета, существенно увеличивает ее влияние и снижает вероятность обнаружения».
Наиболее распространенными начальными точками заражения для MCCcrash являются Окна машины, на которых установлено программное обеспечение, предназначенное для активации операционной системы с незаконными лицензиями, но в основном содержащее вредоносное ПО, которое с задержкой устанавливает скрипт Python, обеспечивающий логику ботнета.
Зараженные устройства Windows затем сканируют Интернет в поисках работающих устройств. дистрибутивы Linux таких как Debian, Ubuntu и CentOS, и использовать учетные данные для входа по умолчанию для запуска одного и того же сценария .py на этих новых устройствах, которые затем используются для запуска DDoS-атак на серверы Minecraft и другие устройства.
Microsoft не раскрыла количество устройств, зараженных MCCrash, но АрсТехника утверждает, что географическая разбивка показывает, что многие из них расположены в России, что отражает мнение Отчет Microsoft Digital Defense за 2022 г.в котором утверждается, что российско-украинский конфликт отчасти вызван киберпреступностью.
