HTTPBot: Η νέα απειλή για τον τομέα του gaming και της τεχνολογίας

Η εμφάνιση του HTTPBot και η στόχευσή του

Οι ερευνητές στον τομέα της κυβερνοασφάλειας έχουν στρέψει την προσοχή τους σε ένα νέο κακόβουλο λογισμικό botnet που ονομάζεται HTTPBot. Το HTTPBot έχει σχεδιαστεί για να πλήττει κυρίως τη βιομηχανία του gaming, καθώς και τεχνολογικές εταιρείες και εκπαιδευτικά ιδρύματα στην Κίνα. Σύμφωνα με την έκθεση της NSFOCUS, το botnet αυτό έχει επεκταθεί επιθετικά τους τελευταίους μήνες, χρησιμοποιώντας μολυσμένες συσκευές για να εκτελεί εξωτερικές επιθέσεις.

Τεχνικές απόκρυψης και παρακάμψεις ανίχνευσης

Το HTTPBot αξιοποιεί τεχνικές όπως οι HTTP Flood επιθέσεις και η δυναμική απόκρυψη χαρακτηριστικών για να παρακάμψει τα παραδοσιακά συστήματα ανίχνευσης που βασίζονται σε κανόνες. Η χρήση αυτών των τεχνικών καθιστά το HTTPBot ιδιαίτερα επικίνδυνο, καθώς μπορεί να παρακάμψει εύκολα τα συστήματα προστασίας που εφαρμόζονται συνήθως.

Η μοναδικότητα του HTTPBot

Παρόλο που το HTTPBot εμφανίστηκε για πρώτη φορά τον Αύγουστο του 2024, η χρήση του πρωτοκόλλου HTTP για την εκτέλεση επιθέσεων DDoS το καθιστά μοναδικό. Είναι γραμμένο στη γλώσσα προγραμματισμού Golang, κάτι που το διαφοροποιεί από άλλα botnets που συνήθως στοχεύουν συστήματα Linux ή IoT. Το HTTPBot, ωστόσο, επικεντρώνεται σε συστήματα Windows, κάτι που το καθιστά αξιοσημείωτο.

Στοχευμένες επιθέσεις με ακρίβεια

Το HTTPBot ξεχωρίζει για την ικανότητά του να εκτελεί επιθέσεις με ακρίβεια “χειρουργικού νυστεριού”, στοχεύοντας σε επιχειρηματικές διεπαφές υψηλής αξίας, όπως συστήματα εισόδου και πληρωμών σε παιχνίδια. Αυτή η προσέγγιση αποτελεί μια σημαντική αλλαγή στον τρόπο με τον οποίο εκτελούνται οι επιθέσεις DDoS, μεταβαίνοντας από την “αδιακρίτως καταστολή της κυκλοφορίας” στη “στοχευμένη στραγγαλιστική πίεση των επιχειρήσεων”.

Επιθέσεις μεγάλης κλίμακας

Από την αρχή του Απριλίου 2025, το HTTPBot έχει εκτελέσει πάνω από 200 επιθέσεις, στοχεύοντας κυρίως τη βιομηχανία του gaming, τεχνολογικές εταιρείες, εκπαιδευτικά ιδρύματα και τουριστικές πύλες στην Κίνα. Η κλίμακα και η ακρίβεια αυτών των επιθέσεων καθιστούν το HTTPBot μια σοβαρή απειλή για τις βιομηχανίες που βασίζονται σε πραγματικό χρόνο αλληλεπιδράσεις.

Τεχνικές απόκρυψης και αυτοματοποίησης

Μόλις εγκατασταθεί και εκτελεστεί, το κακόβουλο λογισμικό αποκρύπτει τη γραφική διεπαφή χρήστη (GUI) για να αποφύγει την παρακολούθηση από χρήστες και εργαλεία ασφαλείας. Επιπλέον, τροποποιεί μη εξουσιοδοτημένα το Windows Registry για να διασφαλίσει την αυτόματη εκκίνηση του κατά την εκκίνηση του συστήματος.

Επικοινωνία και εκτέλεση επιθέσεων

Το botnet συνδέεται με έναν διακομιστή εντολών και ελέγχου (C2) για να λάβει περαιτέρω οδηγίες και να εκτελέσει HTTP flood επιθέσεις σε συγκεκριμένους στόχους, στέλνοντας μεγάλο όγκο HTTP αιτημάτων. Υποστηρίζει διάφορα μοντέλα επιθέσεων:

• BrowserAttack: Χρησιμοποιεί κρυφές περιπτώσεις του Google Chrome για να μιμηθεί νόμιμη κίνηση ενώ εξαντλεί τους πόρους του διακομιστή.
• HttpAutoAttack: Χρησιμοποιεί προσέγγιση βασισμένη σε cookies για να προσομοιώσει νόμιμες συνεδρίες.
• HttpFpDlAttack: Χρησιμοποιεί το πρωτόκολλο HTTP/2 για να αυξήσει το φορτίο CPU στον διακομιστή.
• WebSocketAttack: Χρησιμοποιεί τα πρωτόκολλα “ws://” και “wss://” για να δημιουργήσει συνδέσεις WebSocket.
• PostAttack: Χρησιμοποιεί το HTTP POST για να εκτελέσει την επίθεση.
• CookieAttack: Προσθέτει ροή επεξεργασίας cookies βασισμένη στη μέθοδο BrowserAttack.

Η ιδιαιτερότητα του HTTPBot

Παρόλο που οι οικογένειες DDoS Botnet συνήθως συγκεντρώνονται σε πλατφόρμες Linux και IoT, η οικογένεια HTTPBot έχει στοχεύσει ειδικά την πλατφόρμα Windows. Με την προσομοίωση των επιπέδων πρωτοκόλλου και την μίμηση της συμπεριφοράς των νόμιμων προγραμμάτων περιήγησης, το HTTPBot παρακάμπτει τις άμυνες που βασίζονται στην ακεραιότητα του πρωτοκόλλου. Επιπλέον, καταλαμβάνει συνεχώς τους πόρους των συνεδριών του διακομιστή μέσω τυχαίων διαδρομών URL και μηχανισμών αναπλήρωσης cookies, αντί να βασίζεται απλώς στον όγκο της κυκλοφορίας.