InfectedSlurs robottīkls

Nesen atklāts ļaunprātīgas programmatūras robottīkls “InfectedSlurs” izmanto divas nulles dienas attālās koda izpildes (RCE) ievainojamības, lai apdraudētu maršrutētājus un video ierakstītāju (NVR) ierīces. Šī draudīgā programmatūra pārņem kontroli pār inficētajām ierīcēm, iekļaujot tās DDoS (Distributed Denial of Service) barā, kas, iespējams, tiek iznomāts finansiāla labuma gūšanai. Analītiķi liecina, ka agrākās robottīkla aktivitātes pazīmes meklējamas 2022. gada beigās, taču tas pirmo reizi tika atklāts 2023. gada oktobrī.

InfectedSlurs robottīklam bija izdevies palikt zem radara

Analītiķi atklāja aizdomīgu uzvedību, kas saistīta ar zemas frekvences zondēm, kas mēģināja autentificēties, izmantojot POST pieprasījumus, kam sekoja komandu ievadīšanas mēģinājums. Izmantojot pieejamos datus, pētnieki veica visaptverošu skenēšanu internetā un konstatēja, ka ietekmētās ierīces ir saistītas ar konkrētu NVR ražotāju. Viņu atklājumi norādīja, ka robottīkls izmanto nepaziņotu attālās koda izpildes (RCE) ievainojamību, lai nesankcionēti iekļūtu ierīcē.

Pēc rūpīgākas pārbaudes atklājās, ka ļaunprogrammatūra izmanto noklusējuma akreditācijas datus, kas atrodami dažādu NVR produktu pārdevēja rokasgrāmatās. Tas izmanto šos akreditācijas datus, lai instalētu robotprogrammatūras klientu un veiktu citas ļaunprātīgas darbības. Turpinot izmeklēšanu, tika atklāts, ka robottīkla mērķis ir arī plaši izmantots bezvadu LAN maršrutētājs, kas ir populārs mājas lietotāju un viesnīcu vidū. Šis maršrutētājs ir jutīgs pret citu nulles dienas RCE trūkumu, ko ļaunprātīga programmatūra izmanto savās darbībās.

InfectedSlurs parāda nelielus uzlabojumus salīdzinājumā ar Mirai

Identificētā ļaunprogrammatūra, ko pētnieki nodēvēja par “InfectedSlurs”, ieguva savu nosaukumu, izmantojot aizskarošu valodu Command-and-Control (C2, C&C) domēnos un kodētās virknēs. C2 infrastruktūra, kas, šķiet, arī atvieglo hailBot darbības, parāda ievērojamu koncentrāciju. Šis drauds ir identificēts kā JenX Mirai variants. Turklāt izmeklēšanā tika atklāts ar klasteru saistīts Telegram konts, lai gan kopš tā laika konts ir dzēsts.

Lietotājs aiz konta kopīgoja ekrānuzņēmumus, kuros atklāja gandrīz desmit tūkstošus robotu, kas izmanto Telnet protokolu, un papildu 12 000 robotu, kas mērķēti uz konkrētiem ierīču veidiem/zīmoliem, piemēram, “Vacron”, “ntel” un “UTT-Bots”.

Pēc analīzes tika konstatētas minimālas koda modifikācijas, salīdzinot ar sākotnējo Mirai robottīklu , norādot, ka InfectedSlurs darbojas kā pašvairojošs DDoS rīks. Tā atbalsta uzbrukumus, kuros izmanto SYN, UDP un HTTP GET pieprasījumu plūdus.

Līdzīgi kā Mirai, InfectedSlurs trūkst noturības mehānisma. Tā kā ietekmētajām ierīcēm nav pieejams ielāps, īslaicīgu robottīkla traucējumus var panākt, pārstartējot NVR un maršrutētāja ierīces.