Утечка из‑за халатности: раскрыта сеть DDoS‑атак на игровые серверы

Из‑за элементарной оплошности оператора стала известна внутренняя структура опасного DDoS‑сервиса. Владелец xlabs_v1 случайно оставил без пароля папку на сервере в Нидерландах — и этим воспользовались специалисты Hunt.io. Они изучили файлы и восстановили полную картину: от устройства ботнета до его бизнес‑модели.

Как произошла утечка

В начале апреля во время мониторинга хостинга Offshore LC специалисты обнаружили уязвимость на сервере с IP‑адресом 176.65.139[.]44. Там был открыт каталог с шестью файлами — и никаких ограничений доступа. Среди данных:

• рабочий ARM32‑бинарник (упакован UPX и очищен от символов);

• отладочная сборка для x86‑64 (сохраняет имена функций, строки вывода и ссылки на исходные файлы — это значительно упрощает анализ);

• команды заражения через Android Debug Bridge (ADB);

• SOCKS5‑учётные данные;

• файл с заглушкой для целей атаки.

Именно отладочная версия дала исследователям ключ к пониманию работы всей системы.

Что такое xlabs_v1

Ботнет xlabs_v1 вырос из известного вредоноса Mirai и управляется оператором под псевдонимом Тадаси. Сервис предлагает DDoS‑атаки на игровые площадки — в том числе на хостинги Minecraft.

Возможности ботнета:

• поддерживает 21 вариант флуд‑атак по протоколам TCP, UDP и raw;

• включает режимы под RakNet и UDP‑трафик, имитирующий OpenVPN (это помогает обходить базовую защиту от DDoS);

• адаптирован под разные архитектуры: ARM, MIPS, x86‑64, ARC и Android APK.

Кто в зоне риска

Основной вектор заражения — Android Debug Bridge на порту TCP/5555. Под угрозой:

• Android TV‑приставки;

• медиабоксы;

• смарт‑телевизоры;

• роутеры;

• другое IoT‑оборудование с открытым ADB в интернете.

Как работает бот

После заражения вредонос действует по чёткому сценарию:

1. Маскируется под /bin/bash — чтобы не вызывать подозрений.

2. Обнуляет аргумент командной строки и отключается от терминала — так он становится менее заметным для пользователя.

3. Удаляет конкурирующее вредоносное ПО — освобождает ресурсы устройства.

4. Завершает процесс на TCP/24936 — предположительно, чтобы освободить пропускную способность для собственных атак.

5. Оценивает мощность жертвы: открывает 8192 параллельных TCP‑соединения к ближайшему Speedtest‑серверу, передаёт данные около 10 секунд и отправляет результат на панель управления.

Эта проверка позволяет оператору сортировать заражённые устройства по скорости интернет‑канала и продавать доступ к более быстрым узлам дороже.

Инфраструктура и уязвимости

Строки в бинарнике зашифрованы ChaCha20, но из‑за слабого ключа и повторного использования nonce исследователи смогли восстановить таблицу. В результате стали известны:

• домен управления: xlabslover[.]lol;

• метка: xlabs_v1;

• псевдоним оператора: Тадаси;

• токен аутентификации.

Инфраструктура ботнета включает:

• C2‑сервер на 176.65.139[.]134;

• серверы распространения в диапазоне 176.65.139[.]0/24;

• резервный вход через TCP/26721.

В том же сегменте замечены следы Monero‑майнера VLTRig, но прямой связи между кампаниями не обнаружено.

Выводы экспертов

Hunt.io оценивает уровень подготовки xlabs_v1 как средний. У ботнета есть продуманная бизнес‑модель, резервирование и широкий набор атак. Однако грубые ошибки оператора — открытый staging‑сервер, оставленная отладочная сборка и учётные данные — серьёзно ослабили защиту и привели к раскрытию всей сети.