В последние годы вредоносное ПО, ориентированное на Linux, переживает настоящий бум. В числе наиболее распространённых угроз — криптомайнеры, бэкдоры, руткиты и ботнеты. Недавно в открытом доступе появился новый инструмент — DEDSEC_BOTNET, предназначенный для создания сложных и скрытных ботнетов на базе Linux.
Недавние атаки на DeepSeek показали, что злоумышленники активно используют ботнеты для реализации DDoS-атак, включая SSDP- и NTP-рефлексию, а также HTTP-прокси-атаки. В этом контексте появление DEDSEC_BOTNET вызывает серьёзные опасения среди специалистов по кибербезопасности. Этот конструктор позволяет встраивать вредоносный код в легитимные Python-скрипты и другое программное обеспечение, обеспечивая максимальную скрытность и устойчивость в скомпрометированной системе.
Созданные этим инструментом вредоносные нагрузки обладают несколькими ключевыми характеристиками: они скрываются в системе, выдерживают перезагрузки за счёт механизмов автозапуска и могут участвовать в любых DDoS-атаках, перегружая целевые серверы лавиной запросов. Такой подход позволяет создавать мощные распределённые сети, которые трудно обнаружить и нейтрализовать.
Подобные ботнеты не являются чем-то новым в мире Linux. Среди известных вредоносных семейств можно выделить XorDDoS, Mirai, Mozi, Kaiji, Fodcha и RedGoBot. Однако DEDSEC_BOTNET выделяется возможностью глубокой интеграции в легитимные программы, что делает его особенно опасным. Используя этот конструктор, злоумышленники могут создавать зловреды, способные скрытно существовать в инфраструктуре атакуемых систем в течение долгого времени.
Запуск инструмента осуществляется в несколько этапов: сначала скачивается сборщик, затем он активируется и предоставляет набор команд для управления вредоносной нагрузкой. В результате генерируется файл, который внедряется в целевую систему и активируется при запуске легитимного ПО.