אמריקאי בן 22 מואשם שהפעיל 370 אלף מתקפות בלחיצת כפתור
RapperBot פעל ביותר מ-80 מדינות בשנים האחרונות וכלל כ-95 אלף מכשירים נגועים השתתפו במתקפות
תמונה: dreamstime
צעיר בן 22 מואשם כי עמד מאחורי אחד הבוטנטים המתוחכמים שפעלו בשנים האחרונות. אית'ן פולץ, תושב אורגון שבארצות הברית, פיתח וניהל את RapperBot – שירות להשכרת מתקפות מניעת שירות מבוזרות (DDoS) שפעל ביותר מ-80 מדינות מאז 2021.
בוטנט הוא למעשה "צבא רפאים" של מחשבים ומכשירים שנדבקו בנוזקה ומופעלים מרחוק. ההאקר שמנהל את הרשת יכול להשתמש בהם להצפת אתרים ושרתי אינטרנט בתעבורת DDoS, לשליחת ספאם או אפילו לכריית מטבעות קריפטו. עבור ארגונים מדובר באיום כפול: גם כסיכון ישיר למערכות ה-IT שלהם וגם כאפשרות שהמכשירים שלהם עצמם יגויסו בחשאי לרשת התקפית. RapperBot הוא בדיוק רשת עולמית כזו, המורכבת מאלפי מכשירים שהפכו לכלי נשק דיגיטלי.
פולץ נעצר בתחילת אוגוסט, לאחר שבחיפוש בביתו נתפסה גם שליטה בתשתית הבוטנט. כתב האישום נגדו כולל סעיפים של סיוע ושותפות בפריצות מחשבים, עבירה שדינה עד 10 שנות מאסר.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
כך RapperBot פעל
לדברי משרד המשפטים האמריקאי, RapperBot הדביק בעיקר מכשירי DVR ישנים או נתבי Wi-Fi באמצעות נוזקות ייעודיות. לקוחות השירות יכלו לשגר פקודות למכשירים הנגועים, שהציפו מטרות ברחבי העולם בתעבורת DDoS. הבוטנט הושפע מבוטים ידועים כמו Mirai ו-Satori ונודע ביכולתו לפרוץ למכשירים מרחוק על ידי ניסוי אינסופי של סיסמאות פשוטות בפרוטוקולים כמו SSH או Telnet – שיטות חיבור המשמשות לניהול נתבים ומכשירי DVR. כשסיסמאות נשארו חלשות או על ברירת מחדל, ההשתלטות הייתה מהירה במיוחד. הוא תועד לראשונה על ידי Fortinet באוגוסט 2022, אך פעילות מוקדמת שלו נצפתה כבר במאי 2021.
בשנת 2023 פרסמה Fortinet דוח שבו נחשף כי RapperBot החל לנצל את כוחו גם לכריית קריפטו, כשהוא מנצל את משאבי המחשוב של המכשירים שנפרצו לכריית מטבע Monero. מוקדם יותר השנה שויך גם למתקפות נגד DeepSeek ופלטפורמת X.
פולץ ושותפיו מואשמים כי הפכו את RapperBot לעסק רווחי במיוחד: לפי כתב האישום הם מכרו גישה לשירות שאפשר ללקוחות לבצע יותר מ-370 אלף מתקפות DDoS נגד כ-18 אלף מטרות ייחודיות בסין, יפן, ארצות הברית, אירלנד והונג קונג בין אפריל לאוגוסט 2025 בלבד. הבוטנט כלל בין 65 ל-95 אלף מכשירים נגועים, ששימשו למתקפות בעוצמה של 2 עד 3 Tbps, ומתקפה חזקה אחת חצתה את רף ה-6 Tbps. חלק מהמתקפות נועדו גם לסחיטה של הקורבנות.
החקירה הובילה לפולץ לאחר שאותרו כתובות IP ששויכו לחשבונות ושירותים בהם השתמש, כולל PayPal, Gmail וספק האינטרנט שלו. בנוסף, התגלה כי חיפש את המונח "RapperBot" בגוגל יותר מ-100 פעמים.
פרשת RapperBot היא גם תזכורת חדשה לכך שלא מספיק להגן רק על השרתים הקריטיים. גם נתב ישן, מצלמת אבטחה או DVR יכולים להפוך לנקודת תורפה. בוטנטים כמו RapperBot לא מבחינים בין מכשיר למכשיר וכל חוליה חלשה בשרשרת יכולה להיות פתח לעוד מתקפה על הארגון.
