Ttint Botnet
Ttint Botnet je botnet IoT (Internet věcí), který je aktivní již více než rok. Podle analýzy specialistů zločinci zneužili dvě zranitelnosti nulového dne k infiltraci směrovačů Tenda a instalaci malwaru. Zatímco většina botnetů IoT se používá k zahájení útoku DDoS primárně, Ttint Botnet zobrazuje mnohem širší škálu dostupných funkcí, včetně provádění příkazů vzdáleného přístupu a manipulace s nastavením DNS routeru.
Dosud byly zaznamenány dvě verze odstínu
Když byl Ttint Botnet poprvé detekován, spoléhal se na zneužití zranitelnosti Tendra zero-day, která je sledována jako CVE-2018-14558 a CVE-2020-10987. Hackeři by mohli tuto chybu zabezpečení zneužít k šíření škodlivého softwaru po dobu šesti měsíců. V červenci 2020 však byla vydána zpráva, která podrobně popisuje zranitelnost nulového dne a zpřístupňuje ji veřejnosti. Ačkoli Tendra stále nevydala aktualizaci, která by problém vyřešila, hackeři rychle změnili svou taktiku a během několika týdnů vydali novou verzi svého hrozivého nástroje. Funkčně tato druhá iterace zůstala prakticky nezměněna, ale přešla na využití jiné zranitelnosti nulového dne, která dosud zůstávala nezveřejněná a neopravená.
Lidé používající směrovače Tendra by měli být ostražití a kontrolovat firmware na svých zařízeních. Podle výzkumníků je pravděpodobné, že verze firmwaru od AC9 do AC18 budou napadeny a stanou se oběťmi Ttint Botnet. Nejvíce postižená zařízení jsou umístěna v Brazílii, následovaná USA, Jižní Afrikou a Indií.
Ttint je upravený Mirai
Ttint Botnet je jádrem vzdáleného trojského koně zaměřeného na routerová zařízení, což je silně rozšířená a upravená verze malwaru Mirai Botnet IoT. Mirai Botnet zůstal populární volbou mezi kyberzločinci od doby, kdy se jeho zdrojový kód dostal online online v roce 2016. To umožnilo hackerům s různým stupněm dovednosti vypustit varianty do volné přírody. Pohled na Ttint Botnet odhaluje, že samy o sobě nejsou jeho různé komponenty a funkce nic nového, ale skutečnost, že hackeři, kteří za něj byli zodpovědní, dokázali zkombinovat různé aspekty malwaru IoT nebo Linux do jedinečné entity, činí hrozbu spíše jedinečnou.
Pro začátečníky zachoval Ttint Botnet 10 instrukcí útoku DDoS z Mirai Botnet, ale byl vybaven 12 novými příkazy odpovědnými za chování vzdáleného přístupu. Dalším významným odklonem od Mirai Botnet je způsob, jakým Ttint Botnet zpracovává komunikaci Command-and-Control (C2). Ttint Botnet byl zřejmě nakonfigurován tak, aby využíval protokol WebSocket.
