Tumma Mirai-botnet

Vaikka Mirai-botnet suljettiin vuosia sitten, sen perintö elää edelleen. Bottiverkon lähdekoodin julkaisun jälkeen monet kyberrikolliset käyttivät sitä perustana luodakseen omia versioita haittaohjelmasta. Yksi offshoots Mirai joka on edelleen aktiivinen jäljitetään Tietoturvaviranomainen yhteisö Dark Mirai (alias MANGA). Ja tämän bottiverkon toimintaa seuraavien Fortinetin tutkijoiden mukaan sen operaattorit varustavat sitä edelleen uusilla hyödynnettävillä haavoittuvuuksilla.

Yksi viimeisimmistä Dark Miraihin lisätyistä vaikuttaa suosittuihin TP-Link-kotireitittimiin. Tarkemmin sanottuna kyseinen malli on TL-WR840N EU V5, joka julkaistiin vuonna 2017. Erityisen haavoittuvuuden - CVE-2021-41653 - avulla todennettu käyttäjä voi suorittaa komentoja laitteella haavoittuvan "isäntä"-muuttujan vuoksi. On huomattava, että TP-Link ratkaisi ongelman julkaisemalla laiteohjelmistopäivityksen 12. marraskuuta 2021, joten Dark Mirai -hakkerit turvautuvat siihen, että käyttäjät eivät päivitä laitteitaan ja pysyvät haavoittuvina.

Kun hyökkääjät löytävät sopivan laitteen, he käyttävät CVE-2021-41653-haavoittuvuutta ladatakseen ja sitten suorittaessaan komentosarjan nimeltä "tshit.sh". Tämä komentosarja on sitten vastuussa tärkeimpien hyötykuormien noutamisesta kahden pyynnön kautta. Koska hyökkääjät täytyy todentaa, käyttäjät, jotka edelleen käyttävät reitittimensä oletustunnuksia, ovat todennäköisimmin vaarantuneet.

Kun Dark Mirai otetaan käyttöön, se tunnistaa tartunnan saaneen reitittimen arkkitehtuurin ja jatkaa sitten sopivan hyötykuorman hakemista. Uhka eristää sitten laitteen mahdolliselta tunkeutumiselta muista kilpailevista bottiverkoista sulkemalla useita yleisesti kohdistettuja portteja. Dark Mirai pysyy sitten lepotilassa ja odottaa komentoja komento- ja ohjauspalvelimeltaan (C&C).