Новый DDoS-ботнет атакует кластеры Hadoop

Сеть ботнет, нацеленная на корпоративные серверы Hadoop, была около месяца назад обнаружен исследователем из NewSky Security. С тех пор она развивалась, не привлекая к себе внимания, и постепенно превратилась в серьёзную угрозу.

Фирма кибербезопасности Radware разослала вчера оповещение, в котором указывает, что DemonBot (так она назвала новую сеть ботов) ныне включает более семи десятков управляющих серверов. Задача этих серверов — поиск в Интернете машин, имеющих неправильно сконфигурированный модуль Yet Another Resource Negotiator (YARN). Этот ключевой компонент фреймворка Apache Hadoop часто используется в крупных корпоративных сетях или в платформах облачных вычислений.

После обнаружения подходящей жертвы, DemonBot пытается установить в серверном кластере Hadoop программу для проведения атак DDoS. Для этого используется известная уже около двух лет уязвимость — оставленный по ошибке открытым для внешнего подключения программный интерфейс API YARN.

Radware утверждает, что за последнее время активность DemonBot значительно возросла, и количество предпринимаемых его серверами попыток применить эксплойт YARN превысило миллион в сутки.

«К сожалению, мы не знаем количества реальных ботов [инфицированных серверов Hadoop], — сказал в интервью Паскаль Гиненс (Pascal Geenens), евангелист кибербезопасности в Radware. — Боты не участвуют в сканировании и использовании эксплойтов и поэтому не не генерируют шум [трафик], который мы могли бы зарегистрировать».

В отношении авторов ботнета всё указывает на то, что это так называемые «скиды» — новички или любители, использующие уже готовые скрипты и не имеющие чёткого понимания целей, которые требуется достигнуть. Иначе трудно обьяснить, например, зачем богатые ресурсами серверы Hadoop взламывать для DDoS, ведь гораздо больший профит (и меньше проблем с правосудием) можно получить, установив на них программу для майнинга криптовалют.