Uma nova botnet batizada de “Skipper” foi detectada realizando ataques de negação de serviço (DDoS) com base em servidores NTP (Network Time Protocol) mal configurados. A botnet utiliza uma técnica conhecida como “amplificação NTP”, onde pequenos pacotes de solicitação geram grandes volumes de resposta contra um alvo. A ameaça já comprometeu mais de 15 mil servidores expostos na internet, segundo dados da NetScout.
Os operadores da botnet utilizam varreduras automáticas para identificar máquinas vulneráveis, que são então integradas ao sistema por meio de exploits simples e scripts. O ataque mais recente atribuído à Skipper atingiu uma operadora de telecomunicações na Ásia, com picos de tráfego ultrapassando 250 Gbps. A infraestrutura utilizada para comandar os dispositivos infectados está hospedada em serviços de nuvem de países do Leste Europeu.
A botnet se destaca pela capacidade de alterar rapidamente seus domínios de controle e rotacionar servidores, dificultando bloqueios convencionais por listas negras. Além disso, o código inclui funções de atualização automática, permitindo mudanças de comportamento conforme necessário. O uso de servidores NTP para amplificação não é novo, mas a escala da Skipper chamou a atenção. Muitos dos sistemas utilizados estão em universidades, provedores regionais e órgãos públicos que mantêm serviços legados expostos sem autenticação.
