Een botnet bestaande uit Linux-systemen die geïnfecteerd zijn met zogenoemde BillGates-malware is bezig met een opmars, claimt Akamai op basis van onderzoek. Het botnet zou ingezet worden voor ddos-aanvallen en aan kracht gewonnen hebben na eerdere acties tegen het XOR-botnet.
Akamai plakt in zijn beveiligingsadvies van het Security Intelligence Research Team het stempel 'hoog risicofactor' op het BillGates-botnet. Volgens Akamai werd de malware die ingezet wordt voor het botnet voor het eerst in 2014 ontdekt door een Russische it-site en bouwt de malware voort op de broncode van de Elknot-malware. De oorsprong zou in Azië liggen en het botnet richt met zijn ddos-aanvallen ook op het platleggen van met name Aziatische gamebedrijven, staat in het rapport.
De aanvallen vertonen gelijkenissen met die van het XOR-botnet, dat eerder onder Aziatische bedrijven huishield maar vorig jaar werd ontmanteld. De kans is aanwezig dat de beheerders van XOR met het BillGates-netwerk de draad weer opgepakt hebben, vermoedt Akamai.
De malware ontstaat bij een builder, waarmee kwaadwillenden eigen varianten van BillGates kunnen maken. De resulterende toolkit kan ddos-aanvallen uitvoeren, poorten openen en een heel systeem overnemen. Eind 2015 detecteerde het onderzoeksteam een aanval met een totale, gedistribueerde, bandbreeddte 308Gbit/s. De BillGates-malware infecteert Linux-systemen net als XOR niet direct via kwetsbaarheden maar door op internet naar minimaal beveiligde ssh-servers te zoeken en via bruteforce achter wachtwoorden te komen.
Zoals vaak bij beveiligingsonderzoeken kan de uitkomst niet los gezien worden van het commercieel belang van de onderzoekende partij, in dit geval levert Akamai diensten ter bescherming tegen ddos-aanvallen.