Pro-palestinska in pro-muslimanska hektivistična skupina RipperSec dosega nove “mege” kibernetske napade s svojim orodjem MegaMedusa
Pro-palestinska in pro-muslimanska malezijska hektivistična skupina RipperSec, ustanovljena junija 2023, je na svojem Telegram kanalu zbrala več kot 2.000 naročnikov.
RipperSec sodeluje z mednarodnimi skupinami, kot so Tengkorak Cyber Crew in Stucx Team, in se ukvarja s kibernetskimi napadi, kot so vdori v podatke, uničevanje spletnih strani in napadi z razpršeno zavrnitvijo storitve (DDoS).
Njihove glavne tarče so države, ki jih zaznavajo kot podpornike Izraela, s ciljem motiti operacije, opozarjati nase in izražati solidarnost s palestinskimi in muslimanskimi vzroki.
Kibernetska skupina RipperSec je prevzela odgovornost za 196 DDoS napadov na Izrael, Indijo, ZDA, Združeno kraljestvo in Tajsko med januarjem in avgustom 2024.
MegaMedusa, javno dostopno spletno orodje za DDoS napade, ki ga je razvila RipperSec, je bilo uporabljeno za izvedbo teh napadov. Izveden z uporabo Node.js, izkorišča svoje asinhrone in neblokirajoče I/O zmogljivosti za učinkovito upravljanje več omrežnih povezav, kar ga naredi močno orožje za obsežne DDoS napade.
Primarno je napadala vladne, izobraževalne, poslovne in finančne spletne strani, kar kaže na prednost kritične infrastrukture.
MegaMedusa uporablja različne tehnike naključnosti za prikrivanje svojih napadnih zahtev, zaradi česar jih je težko zaznati in omiliti, vključno z naključno nastavitvijo glav, poti zahtevkov, metod, piškotkov, IP naslovov, TLS/SSL konfiguracij, nastavitev HTTP/2 in uporabe proxijev.
Poleg tega orodje podpira odprte proxije in ponuja združilnike za pridobivanje svežih seznamov proxijev iz javno dostopnih virov, zaradi česar je MegaMedusa močno orodje za izvajanje napadov z razpršeno zavrnitvijo storitve (DDoS).
MegaMedusa, orodje za DDoS napad, trdi, da obide varnostne izzive, vključno s CAPTCHAji, vendar je njena implementacija omejena, saj se primarno zanaša na naključnost in uporabo proxijev za izogibanje zaznavanju, namesto neposrednega reševanja CAPTCHAjev.
Medtem ko vključuje nekatere osnovne elemente ravnanja s CAPTCHAji, mu manjkajo napredne zmožnosti, kot so strojno učenje ali avtomatizacija brskalnika. Skupina RipperSec verjetno uporablja bolj dovršene različice MegaMeduse, kot kaže njihov oglasni video.
Spletni DDoS napadi uporabljajo proxije za prikrivanje izvora zahtev in zaobiti mehanizme zaznavanja. Proxiji delujejo kot posredniki, vzpostavljajo TCP povezavo s tarčo in posredujejo zahteve.
Knjžnice Node.js, kot je https-proxy-agent, poenostavljajo implementacijo proxijev, vendar MegaMedusa uporablja naravni pristop za večji nadzor, kar omogoča napadalcem ustvarjanje velikega števila zahtev iz različnih krajev, preobremenjevanje tarč in motenje storitev.
Izboljšave HTTP protokola, kot sta pipelining in multipleksiranje, so povečale učinkovitost napadov. Medtem ko je pipelining omejen z blokiranjem na začetku vrstice, multipleksiranje omogoča hkratne zahteve preko ene TCP povezave.
Ranljivosti, kot sta Rapid Reset HTTPS/2 in HTTP/2 Continuation, so izkoriščale te izboljšave za DDoS napade. Odprti in komercialni proxiji, pogosto kompromitirane naprave v rezidencah ali strežniki, napadalcem zagotavljajo rezidenčne IP naslove, kar omogoča izogibanje zaznavanju.
