Un actor cibernetic autointitulat ‘DIICOT’ vizează routere slab protejate care rulează sistemul de operare OpenWrt, pentru a le infecta cu malware de tip botnet numit Cayosin, folosit îndeosebi în atacuri de tip DDoS (distributed denial-of-service).
Atacatorul scanează internetul pentru a găsi sistemele vizate și apoi încearcă să se logheze folosind mai multe nume de utilizator și parole (credențiale) până la găsirea combinației potrivite, o metodă denumită brute-force în limbajul de specialitate.
Actorul DIICOT acționează cel puțin din 2020, când activa sub numele Mexals, și este implicat și în preluarea neautorizată a controlului unor dispozitive informatice în scopul minării de criptomonede (cryptojacking).
Indiciilor găsite de analiștii de securitate în codul malware, scripturi, și mesaje adresate grupurilor de hackeri rivale, precum și numele sub care acționează (o referință clară la Direcția de Investigare a Infracțiunilor de Criminalitate Organizată și Terorism), arată că DIICOT este o grupare din Romania.
Analiștii de la compania de securitate informatică Cado Security au examinat o campanie DIICOT descoperită recent dar care care pare să fi început in Aprilie, care folosește un cont Discord pentru activitatea de comandă și control (C2).
Atacul începe cu folosirea unui script scris în Golang pentru a face bruteforce la autentificarea pe dispozitiv prin SSH (protocol Secure Shell).
Dacă dispozitivul vizat rulează OpenWRT – un sistem de operare bazat pe Linux pentru dispozitive de rețea precum router-ul, DIICOT execută un script care determină arhitectura CPU, în baza căreia lansează varianta potrivită de Cayosin (bazat pe botnetul DDoS Mirai).
Dacă dispozitivul nu rulează OpenWRT, atacatorul lansează mai multe binare Linux menite sa pregătească sistemul pentru execuția unei versiuni de XMRig (aplicație pentru minat criptomoneda Monero).
Cado Security spune ca DIICOT nu se limitează doar la cryptojacking și caută să execute mai multe feluri de atacuri, probabil pentru a maximiza profiturile.
O alta observație a analiștilor este că DIICOT a expus detalii despre rivali (nume, adrese, fotografii), o activitate cunoscută ca doxxing și care implică publicarea de informații personale ale unor persoane cunoscute doar după pseudonimul/aliasul online.
