Начало 2026 года ознаменовалось очередной активностью киберпреступников, нацеленных на игровую индустрию. Аналитики компании Darktrace, специализирующейся на кибербезопасности, зафиксировали новую волну атак, в ходе которых злоумышленники использовали уязвимость популярной системы непрерывной интеграции Jenkins для развёртывания DDoS-ботнета. Целью ботнета стали именно игровые серверы, что подтверждает устойчивый тренд на targeting этой отрасли.
Описание
Для наблюдения за действиями злоумышленников Darktrace использует глобальную сеть программных приманок, известную как CloudyPots. Эта сеть имитирует различные интернет-сервисы и протоколы, привлекая внимание вредоносных программ и позволяя исследователям изучать их методы в реальном времени. Одним из таких приманок стал Jenkins - система автоматизации сборки кода и запуска тестов, которую часто оставляют без должной защиты.
Как атакующие проникли в систему
Специалисты Darktrace зафиксировали инцидент 18 марта 2026 года. Злоумышленник нацелился на экземпляр Jenkins, намеренно настроенный с ненадёжным паролем. Это позволило атакующему получить удалённое выполнение кода на сервере. Ключевым элементом атаки стала конечная точка scriptText, которая предназначена для программной отправки заданий в виде скриптов на языке Groovy. Язык Groovy во многом похож на Java и работает на виртуальной машине Java. Вредоносный скрипт передавался через эту точку доступа, что дало злоумышленнику возможность выполнить произвольный код на уязвимом хосте.
Что происходит после заражения
Поскольку Jenkins может быть развёрнут как на Windows, так и на Linux, скрипт содержал отдельные ветки для каждой платформы. На системах Windows он скачивал полезную нагрузку с адреса 103.177.110[.]202 и сохранял её в каталог временных файлов, после чего переименовывал и выполнял. При этом скрипт создавал правило файрвола для порта 5444, который использовался для связи с командным центром управления. На Linux применялась однострочная команда для загрузки и запуска исполняемого файла.
Исследователи отметили необычную особенность данного ботнета: IP-адрес 103.177.110[.]202, принадлежащий вьетнамской компании Webico, использовался одновременно для доставки вредоносного ПО, первоначального доступа и управления. Большинство вредоносных программ разделяют эти функции, чтобы сохранить контроль над заражёнными хостами даже в случае блокировки сервера распространения.
Как ботнет избегает обнаружения
Анализ полезной нагрузки для Linux показал интересные методы уклонения. Сначала скрипт устанавливал переменные окружения Jenkins таким образом, чтобы система не завершала выполнение длительных процессов. Затем он удалял исходный исполняемый файл с диска и переименовывал себя так, чтобы выглядеть как легитимный системный процесс, например ksoftirqd/0 или kworker. Далее следовал двойной вызов fork, что позволяло процессу работать в фоновом режиме. Стандартные потоки ввода и вывода перенаправлялись в пустоту, чтобы скрыть любые записи в логах. Наконец, скрипт создавал обработчик сигналов, который игнорировал попытки завершения процесса.
Техники DDoS-атак
Ботнет поддерживает несколько типов атак. UDP-атаки отправляют пакеты большого размера для насыщения канала или, наоборот, мелкие пакеты для высокой частоты отправки. TCP-атаки используют неблокирующие сокеты, позволяя многократно устанавливать соединения и отправлять данные без ожидания ответа. HTTP-атаки отправляют множественные GET-запросы, что может перегрузить веб-сервер.
Особый интерес вызывает функция attack_dayz, названная в честь популярной игры DayZ. На деле она отправляет запрос TSource Engine Query, характерный для игровых серверов на движке Source от Valve. Этот запрос возвращает большой объём данных о сервере, что позволяет перегрузить его, используя относительно небольшой трафик. Однако DayZ не использует движок Source, поэтому исследователи предположили, что название выбрано произвольно.
Функция attack_special включает три режима: отправку искажённого пакета на DNS-порт, запрос TSource Engine Query на порт 27015 и начало NTP-запроса на порт 123. Все эти атаки направлены на исчерпание ресурсов сервера.
Выводы для специалистов
Данный инцидент напоминает, что атакующие продолжают эксплуатировать любые неправильные настройки на интернет-серверах. Хотя Jenkins до сих пор являлся менее популярной мишенью для приманок Darktrace, появление такого ботнета доказывает оппортунистический характер современных угроз. Для злоумышленников, строящих ботнеты, количество заражённых машин важнее их ценности. Наличие специализированных техник для атак на игровые серверы подтверждает, что игровая индустрия остаётся приоритетной целью. Владельцам игровых серверов стоит уделить особое внимание защите: своевременно обновлять программное обеспечение, использовать надёжные пароли, ограничивать доступ к конечным точкам управления и внедрять системы мониторинга сетевой активности.
Индикаторы компрометации
IPv4
- 103.177.110.202
SHA256
- f79d05065a2ba7937b8781e69b5859d78d5f65f01fb291ae27d28277a5e37f9b
