Breve analisi tecnica della botnet «Gorilla»

10.10.2024 - Nel mese di settembre 2024, l'UFCS ha registrato un aumento degli attacchi DDoS effettuati da una botnet chiamata «Gorilla». Si tratta di un servizio «DDoS-as-a-service» offerto su Telegram, che può essere noleggiato a pagamento. Poiché è stato colpito un operatore di un'infrastruttura critica in Svizzera, l’UFCS ha pubblicato i risultati tecnici in un breve rapporto.

Lo scorso settembre, l’UFCS ha ricevuto una segnalazione da parte di un operatore di un'infrastruttura critica in merito a un attacco di sovraccarico (un cosiddetto attacco «DDoS») contro la sua infrastruttura. L'analisi tecnica condotta insieme all'infrastruttura critica ha dimostrato che l'attacco DDoS è stato presumibilmente effettuato da un servizio «DDoS-as-a-service», offerto tra l'altro sul canale Telegram con il nome di «Gorilla Services». L’UFCS è stato in grado di identificare l'infrastruttura utilizzata dagli aggressori e di avviare misure di difesa adeguate. Inoltre, il canale Telegram di «Gorilla Services» è stato chiuso grazie a un reclamo inviato a Telegram.

La relazione tecnica fa luce sull'infrastruttura utilizzata dalla botnet «Gorilla» e sul malware utilizzato dagli aggressori. Si tratta di un malware che presenta analogie di codice con il malware «Mirai» e infetta i dispositivi con sistema operativo Linux/Unix. Il malware riceve i comandi di attacco da un server centrale di comando e controllo della botnet e li esegue di conseguenza.

Gli attacchi DDoS contro le infrastrutture svizzere erano attacchi di amplificazione DNS. In questi attacchi, flussi di dati estremamente grandi vengono convogliati verso l'infrastruttura della vittima abusando del Domain Name System (DNS), sovraccaricandola. Sebbene gli attacchi abbiano causato brevi interruzioni di alcuni servizi, la sicurezza e l'integrità dei dati non sono mai state messe a repentaglio.

Indicatori tecnici per GorillaBot:
https://github.com/govcert-ch/CTI/tree/main/20241010_GorillaBot/