Hasta 3 Tbps: cómo Black Myth: Wukong casi colapsa Steam en todo el mundo
La explotación de una vulnerabilidad de día 0 ha llevado los ataques DDoS a un nivel completamente nuevo.
En agosto de 2024, los investigadores detectaron un ataque DDoS a gran escala contra plataformas de videojuegos que distribuyen el juego chino Black Myth: Wukong, incluida Steam. La operación estuvo meticulosamente planificada y se dividió en cuatro oleadas, con los atacantes eligiendo las horas pico de actividad de los jugadores en diferentes zonas horarias.
El objetivo de los ataques fueron cientos de servidores ubicados en 13 regiones del mundo, lo que permitió lograr un efecto destructivo máximo. En esta operación se utilizó una red botnet llamada AISURU, que posteriormente se actualizó y pasó a llamarse AIRASHI.
Tras la revelación pública del ataque en septiembre, la actividad de AISURU cesó temporalmente, pero en octubre la red fue modernizada. La nueva versión del botnet, conocida como "kitty" y a finales de noviembre como AIRASHI, mostró mejoras significativas.
AIRASHI se destaca por las siguientes características: el uso de una vulnerabilidad 0day en routers cnPilot para propagarse, la encriptación de cadenas con RC4 y la incorporación de HMAC-SHA256 y ChaCha20 en su protocolo. Además, el botnet cuenta con potentes capacidades para ataques y una red distribuida de servidores de comando.
AIRASHI explota activamente numerosas vulnerabilidades. Muchas de ellas afectan dispositivos AVTECH, Android ADB Debug Server y otros. A pesar del contacto con el fabricante de cnPilot en junio del año pasado, no se ha logrado corregir la vulnerabilidad. Para evitar nuevos ataques, los detalles de la vulnerabilidad 0day no se han revelado hasta el día de hoy.
Los operadores del botnet AIRASHI demuestran sus capacidades en diversas plataformas, incluida Telegram. Las pruebas muestran un pico de ataque estable de 1-3 Tbps, lo que confirma su potencial destructivo. Los principales objetivos son servidores en China, EE.UU., Rusia y Polonia, aunque no hay una selección clara de víctimas: el botnet ataca cientos de objetivos diariamente.
El análisis técnico de las muestras de AIRASHI muestra actualizaciones constantes, incluyendo el uso de proxies SOCKS5 e implementación de nuevos protocolos de red. El botnet utiliza métodos de encriptación modernos, como ChaCha20 y HMAC-SHA256, para proteger sus comunicaciones. Recientemente se han añadido funciones de reverse shell y servicios proxy, lo que refuerza aún más la funcionalidad de la red.
Los defensores pueden detectar posibles ataques mediante firmas diseñadas para identificar intentos de explotación de vulnerabilidades. Por ejemplo, una regla de Snort identifica los comandos utilizados por el botnet para ejecutar scripts.
La lucha contra AIRASHI se complica debido a su estructura distribuida y su desarrollo continuo. Sin embargo, los expertos continúan monitoreando y desarrollando nuevos métodos de defensa para hacer frente a las amenazas del ciberespacio moderno.