Nedávna kampaň distribuovaného odopierania služieb (DDoS), nazvaná „Panamorfi“, začala vzbudzovať pozornosť v kybernetickej komunite. Na rozdiel od tradičných útokov DDoS je táto kampaň zameraná konkrétne na zle nastavené Jupyter notebooky, ktoré sú verejne prístupné. Hrozba aktéra za kampaňou, známeho ako yawixooo, využíva verejne dostupný nástroj na DDoS pre Minecraft server na preťaženie cieľových serverov.
Anatómia útoku
Podľa výskumníkov z Aqua Nautilus sa útok začína tým, že hrozba aktéra získa počiatočný prístup k notebookom s prístupom na internete. Následne vykoná príkaz, ktorý stiahne zip súbor z platformy na zdieľanie súborov. Zip súbor, približne 17 MB veľký a s náhodným reťazcom znakov, obsahuje dva súbory Jar s názvami conn.jar a mineping.jar. Tieto Jar súbory neboli predtým známe bezpečnostným spoločnostiam, pričom bolo zistené len jedno zistenie pre každý.
Súbor ‚conn.jar‘ hraje kľúčovú úlohu v útoku. Využíva Discord na riadenie operácie DDoS. Počítač obete sa pripája k špecifikovanej klientskej linke Discordu a načíta súbor ‚mineping.jar‘. Tento súbor je známy nástroj na DDoS pre Minecraft server dostupný na GitHub a obsahuje niekoľko Java súborov pre rôzne funkcionality.
Realizácia útoku
Po nasadení nástroja pre DDoS na Minecraft server začína hrozba aktéra TCP záplavový útok DDoS. Hlavným cieľom je vyčerpať zdroje cieľového servera. Útočníci nastavili nástroj tak, aby výsledky útoku zapisoval priamo do klientskej linky Discordu, čo im umožňuje sledovať vplyv útoku v reálnom čase.
Zmiernenie hrozby
Našťastie výskumníci z Aqua Nautilus boli schopní zasiahnuť a zastaviť útok implementovaním bežiacej politiky, ktorá blokuje spustenie súboru conn.jar. Tieto preventívne opatrenia efektívne zneškodnili celú kampaň.
Pre ochranu pred podobnými kampaňami je podstatné dodržiavať tieto zmierné stratégie:
– Implementovať bezpečné praktiky na obmedzenie prístupu k Jupyter notebookom.
– Blokovať spustenie súborov súvisiacich s kampaňou, ako sú conn.jar a mineping.jar.
– Obmedziť vykonávanie kódu v rámci Jupyter notebookov.
– Pravidelne aktualizovať Jupyter notebooky s najnovšími bezpečnostnými záplatami.
Dodatočne je vhodné vyhnúť sa zdieľaniu citlivých informácií alebo prihlasovacích údajov v Jupyter notebookoch, pretože môžu potenciálne pritiahol záujem hrozba aktérov.
Byť ostražitými a prijímať obranné opatrenia môžu ľudia pracujúci s dátami, ako sú inžinieri dát, analytici dát a vedci v oblasti dát, ochrániť sa pred kampaňou Panamorfi DDoS a podobnými útokmi v budúcnosti.