Kiberxavfsizlik tadqiqotchilari Jenkins serverlaridan foydalanib, Valve Source Engine asosidagi o‘yin serverlariga hujum qiluvchi yangi DDoS botnetni aniqladi. Ushbu tahdid Darktrace tomonidan honeypot tizimida kuzatilgan bo‘lib, uning asosiy nishoni o‘yin infratuzilmasi hisoblanadi.
Mazkur malware’ning o‘ziga xos jihati — u aynan video o‘yin serverlarini nishonga olishi va bir vaqtning o‘zida Windows hamda Linux tizimlarida ishlay oladigan infektsiya mexanizmiga ega.
Jenkins — dasturchilar tomonidan keng qo‘llaniladigan continuous integration vositasi bo‘lib, noto‘g‘ri sozlanganda remote code execution imkonini ochib beradi. Ushbu kampaniyada attackerlar aynan zaif yoki kuchsiz parol bilan himoyalangan Jenkins serverlarini topib, ular orqali tizimga zararli kod joylashtirgan.
"Oddiy konfiguratsiya xatolari va kuchsiz autentifikatsiya Jenkins’ni hujumchilar uchun oson kirish nuqtasiga aylantirmoqda."
Darktrace mutaxassislari ushbu faoliyatni ilk bor 2026-yil 18-mart kuni aniqlagan. Keyingi tahlillar shuni ko‘rsatdiki, botnet aynan Valve Source Engine asosidagi o‘yinlar — jumladan Counter-Strike va Team Fortress 2 serverlarini nishonga oladi.
Bu holat kiberjinoyatchilar o‘yin sanoatini tobora ko‘proq nishonga olayotganini ko‘rsatadi. Cloudflare ma’lumotlariga ko‘ra, gaming sohasi global miqyosda eng ko‘p hujumga uchraydigan to‘rtinchi sektor hisoblanadi.
Server buzilgach, malware Windows va Linux uchun alohida payload’larni yuklaydi. Windows’da u tizim yangilanishiga o‘xshash nom bilan saqlanadi, Linux’da esa /tmp katalogiga yuklanib, darhol ishga tushiriladi.
"Qiziq jihati shundaki, malware bir xil IP manzilni ham payload tarqatish, ham C2 aloqa uchun ishlatadi — bu odatda kam uchraydi."
Ushbu botnet bir nechta DDoS hujum usullarini qo‘llab-quvvatlaydi:
- UDP flood
- TCP push hujumlari
- HTTP request flood
Alohida e’tiborga loyiq usul — attack_dayz, bu yerda kichik so‘rovlar yuborilib, serverdan katta hajmli javoblar qaytarilishi majbur qilinadi. Natijada kam trafik bilan server resurslari to‘liq band qilinadi.
Infection Mechanism and Persistence
Linux tizimiga tushgach, malware o‘zini yashirish va o‘chirilishdan himoya qilish choralarini ko‘radi. U Jenkins environment variable’larini “dontKillMe” deb sozlab, jarayonning avtomatik to‘xtatilishini oldini oladi.
.webp)
Keyinchalik u o‘z executable faylini o‘chirib, o‘zini Linux tizimidagi haqiqiy jarayonlar kabi ko‘rsatadi — masalan ksoftirqd/0 yoki kworker nomlari bilan.
Malware double fork texnikasi orqali fon rejimida daemon sifatida ishlaydi va barcha loglarni /dev/null ga yo‘naltiradi, bu esa uni deyarli ko‘rinmas qiladi.
Bundan tashqari, u SIGTERM kabi signal’larni e’tiborsiz qoldiradi, bu esa oddiy usullar bilan to‘xtatishni qiyinlashtiradi.
.webp)
Faol holatga o‘tgach, malware C2 serverga ulanadi, tizim haqida ma’lumot yuboradi va buyruqlar kutish rejimiga o‘tadi. Asosiy buyruqlar quyidagilar:
- PING — aloqani tekshirish
- !stop — jarayonni to‘xtatish
- !update — yangi versiyani yuklab olish
"Ushbu botnet o‘zini yangilash va uzoq muddat faol qolish imkoniyatiga ega."
Mutaxassislar server administratorlariga quyidagi choralarni ko‘rishni tavsiya qilmoqda:
- Jenkins serverlarini internetdan yopish yoki cheklash
- Kuchli autentifikatsiya joriy qilish
- Shubhali outbound trafikni monitoring qilish
- TCP port 5444 ni bloklash
- 103[.]177.110.202 IP manzilini tarmoq darajasida bloklash
Shuningdek, barcha kompromat indikatorlarini tekshirish va tizimlarni zudlik bilan audit qilish tavsiya etiladi.
