Издание ZDNet сообщило, что китайские правоохранительные органы арестовали преступную группу, которая управляла ботнетом, состоящим более чем из 200 000 зараженных сайтов и использовала его для DDoS-атак. Это первая масштабная операция со стороны китайских властей, направленная против крупной DDoS-платформы, и крупнейший DDoS-ботнет, который когда-либо закрывали местные власти.
Еще в 2016 году, когда исходные коды малвари Mirai утекли в сеть, китайские хакеры начали массово создавать огромные ботнеты, которые затем сдавали в аренду другим пользователям через специальные сервисы. В 2017 году специалисты Cisco Talos отмечали, что рынок аренды таких ботнетов в Китае стремительно растет. Тогда исследователи писали, что в этом виноваты в том числе и китайские власти, которые не обращают внимания на эту активность.
Вскоре после этого китайские операторы ботнетов стали расширять свой «кругозор». Они перестали полагаться исключительно на заражение IoT-устройств и использование Mirai. Ботнеты начали эксплуатировать уязвимости в веб-серверах и фреймворках для захвата уязвимых систем. В итоге DDoS-ботнеты стали представлять собой еще большую угрозу.
Очевидно, настал момент, когда китайские власти больше не могли игнорировать происходящее. Операция против крупного ботнета началась в августе 2018 года. По информации местных СМИ, полицейских из провинции Цзянсу уведомили о большом количестве взломанных серверов в сети компании Xuzhou Telecom. Эти серверы оказались заражены бэкдорами, которые позволяли хакерам удаленно их контролировать. Последующее расследование помогло обнаружить ботнет, который использовал уязвимости для внедрения вредоносного кода более чем на 200 000 сайтов, включая многочисленные китайские порталы и правительственные ресурсы.
Теперь, больше года спустя, китайская полиция арестовала 41 подозреваемого в 20 городах, включая двух операторов ботнета, а также конфисковали у подозреваемых 10 миллионов юаней (1,4 млн долларов).
Оказалось, что ботнет также использовался для рассылки спама с помощью взломанных сайтов, показа вредоносной рекламы и майнинга криптовалюты. Однако, по сообщениям местных СМИ, основной задачей ботнета все же оставались DDoS-атаки, некоторые из которых достигали мощности в 200 Гбит/сек.