Nieuw DDoS-botnet richt pijlen op Hadoop enterprise-servers

Een onderzoeker van NewSky Security heeft een nieuw botnet ontdekt dat misbruik maakt van onbeveiligde Apache Hadoop-servers. Het netwerk plaatst bots op kwetsbare servers om deze in de toekomst te gebruiken voor DDoS-aanvallen. Dat meldt ZDNet.

Het botnet bestond in eerste instantie uit een paar command and control-servers, stelt cybersecurity-bedrijf Radware. Maar dat botnet is inmiddels gegroeid naar ruim zeventig servers. De servers moeten het internet scannen op Hadoop-installaties die een verkeerd geconfigureerde YARN-module gebruiken.

YARN staat voor Yet Another Resource Negotiator en is een kerncomponent van het data processing-framework van Hadoop dat veelal in grote enterprise-netwerken en cloud computing-omgevingen gebruikt wordt. Als het netwerk genaamd DemonBot een mogelijk slachtoffer vindt, probeert het misbruik te maken van die verkeerde configuratie om een bot-proces te installeren op het Hadoop-systeem.

Volgens Radware is DemonBot in de afgelopen maand gigantisch gegroeid en probeert het nu 1 miljoen YARN-configuraties per dag te misbruiken. “Helaas hebben we geen totaal aantal van daadwerkelijk geïnfecteerde Hadoop-servers”, stelt Pascal Geenens van Radware. “Bots zijn niet aan het scannen of kwetsbaarheden aan het misbruiken, dus ze genereren geen verkeer dat we kunnen detecteren en in kaart kunnen brengen.”

Skids

Een andere vraag die bestaat is waarom dit botnet servers met veel recourses als Hadoop infecteert met DDoS-bots, in plaats van malware te installeren om cryptovaluta te minen. Dat zou namelijk meer geld opbrengen en voor minder legale problemen zorgen.

Daarmee lijkt het er volgens Radware op dat dit het werk is van zogenaamde “skids”. Skids zijn makers van malware die botnets en malware gebruiken aan de hand van scripts die kant en klaar te koop zijn, weinig beveiliging gebruiken en geen plan hebben voor de lange termijn.

Volgens Ankit Anubhav van NewSky Security lijkt het botnet verder banden te hebben met de makers van het Sora-botnet. Die makers waren ook verantwoordelijk voor de creatie van diverse andere botnets, waaronder Owari, Wicked, Omni, Anarchy en anderen. Al die botnets werden ingezet voor DDoS-aanvallen.

De beveiligingsbedrijven raden server administrators aan om hun configuraties van YARN te bekijken, om te voorkomen dat eventuele problemen misbruikt worden door het botnet.