Dark Mirai Botnet

Přestože byl botnet Mirai před lety uzavřen, jeho dědictví nadále žije. Po zveřejnění zdrojového kódu botnetu jej mnoho kyberzločinců použilo jako základ k vytvoření vlastních verzí malwaru. Jedna z odnoží Mirai, která je stále aktivní, je sledována komunitou infosec jako Dark Mirai (aka MANGA). A podle výzkumníků z Fortinetu, kteří sledují aktivity tohoto botnetu, jeho provozovatelé pokračují v jeho vybavování novými zranitelnostmi, které lze zneužít.

Jeden z nejnovějších, který byl přidán do Dark Mirai, ovlivňuje řadu oblíbených domácích routerů TP-Link. Konkrétněji je dotčeným modelem TL-WR840N EU V5 vydaný v roce 2017. Zvláštní zranitelnost – CVE-2021-41653 umožňuje ověřenému uživateli spouštět příkazy na zařízení kvůli zranitelné proměnné 'host'. Je třeba poznamenat, že TP-Link problém vyřešil vydáním aktualizace firmwaru 12. listopadu 2021, takže hackeři Dark Mirai spoléhají na uživatele, kteří neaktualizují svá zařízení a zůstávají zranitelní.

Po objevení vhodného zařízení útočníci zneužijí zranitelnost CVE-2021-41653 ke stažení a následnému spuštění skriptu s názvem „tshit.sh". Tento skript je pak zodpovědný za načtení hlavních dat pomocí dvou požadavků. Vzhledem k tomu, že útočníci musí být ověřeni, jsou nejpravděpodobnější, že budou ohroženi uživatelé, kteří stále používají výchozí přihlašovací údaje pro svůj router.

Po nasazení Dark Mirai identifikuje architekturu infikovaného routeru a poté přistoupí k načtení vhodného obsahu. Hrozba pak izoluje zařízení od potenciální infiltrace z jiných konkurenčních botnetů vypnutím několika běžně cílených portů. Dark Mirai pak zůstane nečinný a bude čekat na příkazy ze svého serveru Command-and-Control (C&C).