محققان امنیت سایبری جزئیات آنچه را که به گفته آنها "بزرگترین بات نت" مشاهده شده در فضای سایبری در طی شش سال گذشته است را افشا کردند. این بات‌نت بیش از یک میلیون و ششصد هزار دستگاه که عمدتاً در چین بوده‌اند را با هدف راه‌اندازی حملات Distributed Denial of Service (DDoS) و درج تبلیغات در وب سایت‌های HTTP که توسط کاربران ناآگاه بازدید می‌شود، آلوده کرده است.

تیم امنیتی Netlab Qihoo 360 بر اساس نمونه‌ای که در ۲۱ نوامبر ۲۰۱۹ به دست آمد، این بات‌نت را «Pink» نامیدند، زیرا تعداد زیادی فانکشن‌ها با «pink» شروع می‌شود.

این بات‌نت که عمدتاً روتر‌های فیبری مبتنی بر MIPS را هدف قرار می‌دهد، از ترکیبی شامل خدمات شخص ثالث مانند GitHub، شبکه‌های peer-to-peer (P2P) و سرور‌های مرکزی command-and-control (C2) برای ارتباطات بات‌ها و کنترل‌کننده‌های خود استفاده می‌کند. لازم به ذکر است که کانال‌های انتقال برای جلوگیری از بازپسگیری دستگاه‌های قربانی، به شکل کامل رمزگذاری می‌شوند.

محققان می‌گویند: «پینک برای حفظ کنترل دستگاه‌های آلوده، به شکلی جدی با تأمین‌کنندگان رقابت می‌کند. در حالی که تأمین کنندگانن تلاش‌های مکرری برای رفع مشکل انجام می‌دادند، متخصصان بات نیز در زمان کوتاهی متوجه عملکرد تأمین‌کننده شده و به‌طور متناظر، چندین بروزرسانی فریمور را روی روتر‌های فیبر انجام دادند». این نکته در تحلیلی که هفته گذشته به دنبال اقدام هماهنگ انجام شده توسط تأمین‌کننده ناشناس و تیم فنی واکنش سریع شبکه کامپیوتری (مرکز هماهنگی) چین (CNCERT/CC) منتشر شد، بیان گردیده است.

جالب اینجاست که پینک همچنین از DNS-Over-HTTPS (DoH) استفاده می‌کند؛ پروتکلی که برای اجرای تحلیل سیستم نام دامنه از راه دور از طریق پروتکل HTTPS، برای اتصال به کنترل‌کننده مشخص‌شده در یک فایل پیکربندی که یا از طریق GitHub یا Baidu Tieba ارائه می‌شود و یا از طریق یک نام دامنه داخلی که در برخی از نمونه‌ها کدگذاری شده است، استفاده می‌شود.

شرکت امنیت سایبری NSFOCUS مستقر در پکن، در گزارشی مستقل خاطرنشان کرد که بیش از ۹۶ درصد از بخش نود‌های زامبی از این "شبکه بات مقیاس بسیار بزرگ" در چین واقع شده‌اند و عامل تهدید برای نصب برنامه‌های مخرب با استفاده از آسیب‌پذیری‌های روز صفر (zero-day) در دستگاه‌های گیت‌وی شبکه، وارد دستگاه‌ها شده است. اگرچه بخش قابل توجهی از دستگاه‌های آلوده از ژوئیه ۲۰۲۰ رفع مشکل شده و به حالت قبلی خود بازگردانده شده‌اند، اما گفته می‌شود که بات نت هنوز فعال است و حدود ۱۰۰,۰۰۰ نود را به خطر میاندازد.

با وجود نزدیک به ۱۰۰ حمله DDoS که تا به امروز توسط این بات‌نت انجام شده، این یافته‌ها نشانه دیگری از این است که چگونه بات نت‌ها می‌توانند زیرساخت قدرتمندی برای عوامل مخرب جهت اعمال انواع نفوذ ارائه دهند. محققان NSFOCUS می‌گویند: «دستگاه‌های اینترنت‌اشیا به یک هدف مهم برای سازمان‌های تولیدکننده محصولات آلوده و حتی سازمان‌های تهدیدکننده دائمی پیشرفته (APT) تبدیل شده‌اند. اگرچه پینک بزرگترین بات نت کشف شده است، اما هرگز آخرین بات نت نخواهد بود».