Mirai_ptea Botnet

En ny variant baseret på den berygtede Mirai Botnet er blevet opdaget som en del af aktive truende operationer. Navngivet Mirai_ptea af malware-forskere udnytter den nye trussel en sårbarhed i KGUARD DVR-enheder. Visse detaljer om den specifikke sårbarhed holdes under omslag, men kort sagt giver det trusselsaktørerne adgang til rsSystemServer-programmet på KGUARD DVR-firmwaren og kan derefter lytte på port 56 *** ved 0.0.0.0 for at udføre vilkårlige systemkommandoer eksternt uden behov for at godkende sig selv. Det skal bemærkes, at denne særlige udnyttelse blev løst i firmwareversioner, der blev frigivet efter 2017. Stadig opdagede infosec-forskerne cirka 3.000 sårbare enheder, der kan blive kompromitteret af Mirai_ptea. De fleste af de allerede brudte enheder ser ud til at være placeret i USA efterfulgt af Korea og Brasilien.

Truende kapaciteter

Mirai Botnet blev kendt i 2016, og kort tid efter blev dens kildekode lækket på hackerfora, der effektivt gjorde truslen til open source-malware. Lige siden skruppelløse cyberkriminelle har skabt adskillige trusler med varierende afhængighed af den originale Mirai-kode. Med hensyn til Mira_ptea viser analyse af dens kode og aktiviteter, at det på værtsadfærdniveau er næsten identisk med Mirai. De største forskelle findes i den måde, Mirai_ptea håndterer sin netværkstrafik på. Faktisk stammer navnet fra to af dem - brugen af en TOR Proxy til kommunikation med Command-and-Control (C2, C&C) serveren og afhængigheden af TEA (Tine Encryption Algorithm) for at maskere følsomme ressourcedata. Den vigtigste truende funktionalitet af Mirai_ptea er at udføre DDoS (Distribueret Denial-of-Service) angreb, og truslen er blevet brugt i aktive angreb mod udvalgte mål.