I ricercatori Microsoft hanno scoperto una botnet Windows-Linux che abbatte i server Minecraft con attacchi DDoS "molto efficaci".
Come riportato da ArsTechnica(Si apre in una nuova scheda), la botnet MCCrash invia un comando che completa la finestra di dialogo di immissione del nome utente sulla pagina di accesso di un server Minecraft che provoca l'arresto anomalo del server e l'esaurimento delle risorse.
"L'uso della variabile env innesca l'uso della libreria Log4j 2, che porta a un consumo anomalo delle risorse di sistema (non correlato alla vulnerabilità Log4Shell), che dimostra un metodo DDoS specifico e altamente efficace", hanno scritto i ricercatori di Microsoft.
L'enorme portata della botnet MCCrash
Microsoft ha anche notato che MCCrash ha la capacità di arrestare in modo anomalo i server che eseguono un'ampia varietà di versioni del software del server del gioco.
È qui che le cose diventano un po' complicate: MCCrash stesso è hardcoded solo per prendere di mira la versione 1.12.2, ma la tecnica di attacco è sufficiente per arrestare i server che eseguono dalla versione 1.7.2 alla versione 1.18, che secondo ArsTechnica è più o meno la stessa. tutti i servizi Minecraft in esecuzione. Questo giorno.
La patch del software del server alla versione 1.9 rende inefficace la tecnica della botnet, ma anche senza di essa, Microsoft si rende conto che l'impatto della botnet è limitato.
"L'ampia gamma di server Minecraft a rischio evidenzia l'impatto che questo malware avrebbe potuto avere se fosse stato specificamente codificato per influenzare le versioni successive alla 1.12.2", hanno scritto i ricercatori Microsoft.
"La capacità unica di questa minaccia di utilizzare dispositivi Internet of Things (IoT) spesso non monitorati come parte della botnet aumenta notevolmente il suo impatto e riduce le sue possibilità di rilevamento".
I punti iniziali più comuni di infezione per MCCcrash sono le macchine Windows su cui è installato un software che pretende di attivare il sistema operativo con licenze illecite, ma che contiene principalmente malware che successivamente installa uno script Python che fornisce la logica botnet.
I dispositivi Windows infetti eseguono quindi la scansione di Internet alla ricerca di dispositivi che eseguono distribuzioni Linux, come Debian, Ubuntu e CentOS, e utilizzano le credenziali di accesso predefinite per eseguire lo stesso script .py su questi nuovi dispositivi, che vengono quindi utilizzati per lanciare attacchi DDoS in Minecraft. . server e altri dispositivi.
Microsoft non ha rivelato il numero di dispositivi infetti da MCCrash, ma ArsTechnica afferma che una suddivisione geografica rivela che molti si trovano in Russia, facendo eco ai sentimenti del Digital Defense Report 2022 di Microsoft, secondo cui il conflitto russo-ucraino è, in parte, dovuto al crimine informatico