Дослідники з компанії Fortinet виявили новий небезпечний різновид відомого шкідливого програмного забезпечення Gafgyt, який отримав назву C0XMO. Цей ботнет націлений на компрометацію прошивок маршрутизаторів DD-WRT, проте його сучасна модульна архітектура дозволяє легко адаптуватися під інші типи обладнання та архітектури процесорів, включаючи ARM, MIPS, PowerPC, SuperH, x86 та x86_64, а також системи розумного дому, відеореєстратори та пристрої на базі Android. Шкідливе ПЗ уже було зафіксоване під час реальної атаки на технологічну компанію в Японії, хоча керуючий сервер зловмисників фізично розташовувався на території Німеччини. Головним вектором первинного проникнення в мережу є експлуатація критичної вразливості CVE-2021-27137. Це помилка типу переповнення буфера, яка виникає через недостатню перевірку введених користувачем даних у коді прошивки роутера та дозволяє зловмисникам без проходження будь-якої автентифікації віддалено виконувати довільні шкідливі команди. Після успішного зламу C0XMO розгортає свій основний функціонал, призначений для проведення потужних розподілених атак на відмову в обслуговуванні. Програма підтримує 19 різних методів генерації деструктивного трафіку, серед яких класичні TCP/UDP/SYN/ICMP-флуди, атаки типу “ping of death”, посилення через мережеві протоколи NTP та Memcached, а також специфічні атаки на голосові канали платформи Discord та ігрові сервери компанії Valve.

Для максимального розповсюдження по мережі ботнет автоматично завантажує спеціалізований скрипт на мові Python, який самостійно встановлює додаткові пакети для сканування мереж та ведення комунікації через протоколи SSH та Telnet. Скрипт запускає численні паралельні потоки для випадкового сканування доступних в Інтернеті систем на стандартних портах, таких як 22, 23, 80, 443, 8080 та інших, після чого намагається підібрати слабкі паролі адміністратора. У разі успіху шкідлива програма миттєво визначає тип процесора жертви та завантажує сумісний бінарний файл, копіюючи його в приховані директорії операційної системи, зокрема за шляхами /tmp/.sys або /var/tmp/.sys. Для надійного закріплення в системі C0XMO створює автоматичні завдання планувальника задач cron, які примусово перезапускають шкідника кожні 15 хвилин, а також модифікує стартові конфігураційні файли командної оболонки для автоматичного запуску пристрою після перезавантаження. Унікальною технічною особливістю цієї модифікації є агресивна боротьба за ресурси зараженого заліза: ботнет безперервно сканує активні процеси пристрою, виявляє клієнтів інших конкуруючих хакерських мереж, а також інструменти моніторингу безпеки. Знайшовши конкурентів, C0XMO примусово завершує їхню роботу, повністю видаляє їхні виконавчі файли та зачищає їхні записи в системних службах, після чого встановлює зашифрований зв’язок із власним командним сервером за допомогою багатоетапного процесу обміну секретними ключами та очікує на подальші команди.