Исследователи Microsoft обнаружили ботнет Windows-Linux, выводящий из строя серверы Minecraft в ходе «очень эффективных» DDoS-атак.
Как сообщает ArsTechnica (откроется в новой вкладке), ботнет MCCrash отправляет команду, которая завершает диалоговое окно ввода имени пользователя на странице входа в систему сервера Minecraft, что приводит к сбою сервера и истощению ваших ресурсов.
«Использование переменной env запускает использование библиотеки Log4j 2, что приводит к аномальному потреблению системных ресурсов (не связанному с уязвимостью Log4Shell), что демонстрирует специфический и высокоэффективный метод DDoS», — написали исследователи в Microsoft.
Огромный охват ботнета MCCrash
Microsoft также отметила, что MCCrash может привести к сбою серверов, на которых запущены самые разные версии серверного программного обеспечения игры.
Здесь все становится немного сложнее: сам MCCrash жестко запрограммирован только на 1.12.2, но техники атаки достаточно, чтобы вывести из строя серверы с 1.7.2 до 1.18, что, по оценкам ArsTechnica, примерно одинаково. все запущенные сервисы Minecraft. Этот день.
Обновление программного обеспечения сервера до версии 1.9 делает технику ботнета неэффективной, но даже без этого Microsoft понимает, что влияние ботнета ограничено.
«Широкий спектр серверов Minecraft, находящихся под угрозой, подчеркивает влияние, которое могла бы оказать эта вредоносная программа, если бы она была специально закодирована для воздействия на версии после 1.12.2», — пишут исследователи Microsoft.
«Уникальная способность этой угрозы использовать часто неконтролируемые устройства Интернета вещей (IoT) как часть ботнета значительно увеличивает ее влияние и снижает вероятность ее обнаружения».
Наиболее распространенными начальными точками заражения для MCCcrash являются компьютеры Windows, на которых установлено программное обеспечение, предназначенное для активации операционной системы с помощью незаконных лицензий, но в основном содержащее вредоносное ПО, которое впоследствии устанавливает скрипт Python, обеспечивающий логику ботнета.
Зараженные устройства Windows затем сканируют Интернет в поисках устройств с дистрибутивами Linux, такими как Debian, Ubuntu и CentOS, и используют учетные данные для входа по умолчанию для запуска того же сценария .py на этих новых устройствах, которые затем используются для запуска DDoS-атак в Шахтерское ремесло. . сервера и другие устройства.
Microsoft не раскрывает количество устройств, зараженных MCCrash, но ArsTechnica сообщает, что географическая разбивка показывает, что многие из них находятся в России, что перекликается с мнением Microsoft Digital Defense Report 2022, в котором говорится, что российско-украинский конфликт частично вызван киберпреступностью.