Ttint Botnet
Ttint Botnet on IoT (Internet of Things) -obotnet, joka on ollut aktiivinen yli vuoden ajan. Asiantuntijoiden analyysin mukaan rikolliset käyttivät kahta nollapäivän haavoittuvuutta tunkeutuakseen Tenda-reitittimiin ja asentamaan haittaohjelmia. Vaikka useimpia IoT-botnet-verkkoja käytetään ensisijaisesti DDoS-hyökkäyksen käynnistämiseen, Ttint Botnet näyttää paljon laajemman valikoiman käytettävissä olevia toimintoja, mukaan lukien etäkäskyjen suorittaminen ja reitittimen DNS-asetusten muuttaminen.
Kaksi versiota Ttintistä havaittu toistaiseksi
Kun Ttint Botnet havaittiin ensimmäisen kerran, se vetoaa Tendran nollapäivän haavoittuvuuden väärinkäyttöön, jota seurataan nimellä CVE-2018-14558 ja CVE-2020-10987. Hakkerit voisivat hyödyntää tätä haavoittuvuutta haittaohjelmien levittämiseksi yli kuuden kuukauden ajan. Kuitenkin heinäkuussa 2020 julkaistiin raportti, jossa kuvattiin nollapäivän haavoittuvuus ja tehtiin siitä yleinen tieto. Vaikka Tendra ei ole vieläkään julkaissut päivitystä ongelman korjaamiseksi, hakkerit vaihtivat taktiikkaansa nopeasti ja julkaisivat uuden version uhkaavasta työkalustaan muutamassa viikossa. Toiminnallisesti tämä toinen iterointi pysyi käytännössä muuttumattomana, mutta se oli siirtynyt käyttämään erilaista nollapäivän haavoittuvuutta, joka on toistaiseksi pysynyt julkistamattomana ja korjaamattomana.
Tendra-reitittimiä käyttävien ihmisten on oltava valppaana ja tarkistettava laitteidensa laiteohjelmisto. Tutkijoiden mukaan laiteohjelmistoversiot vaihtelevat AC9: stä AC18: een todennäköisesti hyökkäävät ja niistä tulee Ttint Botnetin uhreja. Eniten kärsineet laitteet sijaitsevat Brasiliassa, joita seuraavat Yhdysvallat, Etelä-Afrikka ja Intia.
Ttint on muokattu Mirai
Ytimessä Ttint Botnet on etäkäyttöinen troijalainen reitityslaite, joka on voimakkaasti laajennettu ja muunnettu versio Mirai Botnet IoT -haittaohjelmasta. Mirai Botnet on pysynyt suosittu valinta verkkorikollisten keskuudessa siitä lähtien, kun sen lähdekoodi vuotaa verkosta vuonna 2016. Tämä on antanut hakkereille, joilla on vaihteleva taito, vapauttaa muunnelmia luonnossa. Tarkasteltaessa Ttint Botnetia paljastuu, että sen erilaiset komponentit ja toiminnot eivät itsessään ole mitään uutta, mutta tosiasia, että siitä vastuussa olevat hakkerit ovat onnistuneet yhdistämään IoT: n tai Linuxin haittaohjelmien eri näkökohdat yksittäiseksi kokonaisuudeksi, tekee uhasta melko ainutlaatuisen.
Ensinnäkin Ttint Botnet on säilyttänyt 10 DAIS-hyökkäysohjetta Mirai Botnetilta, mutta se on varustettu 12 uudella komennolla, jotka vastaavat sen etäkäyttäytymisestä. Toinen merkittävä poikkeama Mirai Botnetista on tapa, jolla Ttint Botnet käsittelee komento-ja-ohjaus (C2) -viestintää. Ilmeisesti Ttint Botnet on määritetty käyttämään WebSocket-protokollaa.
