Beastmode Botnet

Ο πηγαίος κώδικας του διαβόητου botnet Mirai κυκλοφόρησε στο κοινό το 2016. Οι εγκληματίες του κυβερνοχώρου δεν έχασαν χρόνο και άρχισαν να κάνουν κατάχρηση της πρόσβασής τους στον κώδικα για να δημιουργήσουν τις δικές τους παραλλαγές botnet. Ακόμη και έξι χρόνια αργότερα, το Mirai εξακολουθεί να χρησιμοποιείται ως βάση για νέα ισχυρά καπό. Ένα παράδειγμα είναι το botnet Beastmode, το οποίο είναι ακόμα υπό ενεργό και συνεχή ανάπτυξη.

Πράγματι, οι ερευνητές του infosec παρατήρησαν ότι το Beastmode έχει ενημερώσει το οπλοστάσιό του με εκμεταλλευόμενα τρωτά σημεία για να περιλαμβάνει πλέον 5 νέα. Τρία από αυτά - CVE-2022-26210, CVE-2022-26186, και η οικογένεια ευπαθειών μεταξύ CVE-2022-25075 και 25084, μπορούν να χρησιμοποιηθούν για την παραβίαση των δρομολογητών TOTOLINK. Τα exploits προστέθηκαν στην απειλή μόλις μια εβδομάδα μετά τη δημοσίευσή τους στο GitHub. Επιπλέον, το botnet στοχεύει επίσης πολλά απαρχαιωμένα προϊόντα D-LINK μέσω της ευπάθειας CVE-2021-45382. Τα προϊόντα που ανήκουν στις εταιρείες TP-Link, Huwaei, NETGEAR και NUUO NVRmimi2 και NVRsolo ήταν επίσης μεταξύ των στόχων της απειλητικής εκστρατείας επίθεσης Beastemode.

Η κύρια λειτουργικότητα του botnet αφορά την εκτόξευση επιθέσεων DDoS (Distributed Denial-of-Service). Στέλνοντας ένα τεράστιο αριθμό αιτημάτων σε έναν επιλεγμένο στόχο, οι εγκληματίες του κυβερνοχώρου μπορούν να διαταράξουν τις κανονικές λειτουργίες του θύματός τους για παρατεταμένο χρονικό διάστημα. Τόσο οι χρήστες όσο και οι οργανισμοί δεν θα πρέπει να καθυστερήσουν την ενημέρωση του υλικολογισμικού των συσκευών τους. Εξάλλου, οι χειριστές του botnet Beastmode έχουν επιδείξει την ικανότητά τους να ενσωματώνουν γρήγορα νέα τρωτά σημεία και να απαλλαγούν από τυχαία σφάλματα. Χρειάστηκαν μόλις τρεις ημέρες για να αφαιρέσουν ένα τυπογραφικό λάθος που ανακάλυψαν οι ερευνητές στον τομέα της κυβερνοασφάλειας στη διεύθυνση URL - το «downloadFlile.cgi» που χρησιμοποιήθηκε από τη συσκευή που παρατηρήθηκε αντικαταστάθηκε από το «downloadFile.cgi».