Aquabot Botnet

एक्वाबॉट के नाम से जाना जाने वाला मिराई-आधारित बॉटनेट वैरिएंट, मिटेल फोन को प्रभावित करने वाली सुरक्षा खामी का सक्रिय रूप से फायदा उठाने का प्रयास करता हुआ पाया गया है। हमलावरों का लक्ष्य इन डिवाइस को एक ऐसे बॉटनेट में एकीकृत करना है जो डिस्ट्रिब्यूटेड डेनियल-ऑफ-सर्विस (DDoS) हमले शुरू करने में सक्षम हो।

फोकस में भेद्यता: CVE-2024-41710

लक्षित सुरक्षा दोष, CVE-2024-41710, का CVSS स्कोर 6.8 है और यह बूट प्रक्रिया में कमांड इंजेक्शन भेद्यता से उत्पन्न होता है। यह दोष हमलावरों को फ़ोन के ऑपरेटिंग वातावरण में मनमाने आदेशों को निष्पादित करने की अनुमति दे सकता है।

प्रभावित डिवाइस और पैच विवरण

यह भेद्यता कई मिटेल फोन मॉडल को प्रभावित करती है, जिसमें 6800 सीरीज, 6900 सीरीज, 6900w सीरीज SIP फोन और 6970 कॉन्फ्रेंस यूनिट शामिल हैं। मिटेल ने जुलाई 2024 में इस मुद्दे को संबोधित किया, लेकिन अगस्त में एक प्रूफ-ऑफ-कॉन्सेप्ट (PoC) शोषण सार्वजनिक रूप से उपलब्ध हो गया, जिससे संभावित रूप से खतरे वाले अभिनेताओं के लिए दरवाजा खुल गया।

खेल में एक से अधिक कमज़ोरियाँ

CVE-2024-41710 के अलावा, Aquabot को CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 और CVE-2023-26801 सहित अन्य कमजोरियों को लक्षित करते हुए देखा गया है। बॉटनेट ने लिंक्सिस ई-सीरीज डिवाइस में रिमोट कोड निष्पादन दोष का फायदा उठाने का भी प्रयास किया है, जो एक व्यापक हमले की सतह का संकेत देता है।

एक्वाबॉट: एक मिराई-आधारित बॉटनेट जिसका इतिहास है

एक्वाबॉट कुख्यात मिराई फ्रेमवर्क से निकला एक बॉटनेट है, जिसे विशेष रूप से DDoS हमलों को अंजाम देने के लिए डिज़ाइन किया गया है। शोधकर्ता नवंबर 2023 से इसकी गतिविधि पर नज़र रख रहे हैं, जिसमें निरंतर विकास के प्रमाण हैं।

दोष का फायदा उठाना: आक्रमण तंत्र

CVE-2024-41710 के खिलाफ सक्रिय शोषण के पहले संकेत जनवरी 2025 की शुरुआत में सामने आए। हमलावर शेल स्क्रिप्ट को निष्पादित करके बॉटनेट मैलवेयर को तैनात करते हैं, जो 'wget' कमांड का उपयोग करके खतरनाक पेलोड को पुनः प्राप्त करता है। हमले का तरीका सार्वजनिक रूप से उपलब्ध PoC शोषण से काफी मिलता जुलता है।

एक गुप्त और अधिक उन्नत संस्करण

इन हमलों में शामिल एक्वाबॉट वैरिएंट मैलवेयर का तीसरा संस्करण प्रतीत होता है। यह एक नया 'रिपोर्ट_किल' फ़ंक्शन पेश करता है, जो बॉटनेट प्रक्रिया समाप्त होने पर कमांड-एंड-कंट्रोल (C2) सर्वर को वापस रिपोर्ट करता है। हालाँकि, इस बात का कोई सबूत नहीं है कि यह फ़ंक्शन सर्वर से कोई तत्काल प्रतिक्रिया ट्रिगर करता है।

इसके अलावा, नया संस्करण पहचान से बचने के लिए खुद को 'httpd.x86' के रूप में छिपाता है और स्थानीय शेल जैसी विशिष्ट प्रक्रियाओं को समाप्त करने के लिए प्रोग्राम किया जाता है। ये परिशोधन एक्वाबॉट को अधिक आक्रामक बनाने और संभावित रूप से प्रतिस्पर्धी बॉटनेट गतिविधि का पता लगाने के प्रयासों का सुझाव देते हैं।

एक्सेस बेचना: किराये पर देने के लिए भूमिगत DDoS ऑपरेशन

संकेत बताते हैं कि एक्वाबॉट के पीछे कुछ ऐसे लोग हैं जो टेलीग्राम पर DDoS सेवा के रूप में अपना बॉटनेट पेश कर रहे हैं। वे कर्सिंक फ़ायरवॉल, द आई सर्विसेज़ और द आई बॉटनेट जैसे उपनामों के तहत काम करते हैं, और भुगतान करने वाले ग्राहकों को हमले की क्षमता प्रदान करने के लिए समझौता किए गए होस्ट का लाभ उठाते हैं।

बड़ी तस्वीर: मिराई का खतरा मंडरा रहा है

एक्वाबॉट जैसे मिराई-आधारित खतरों का फिर से उभरना इंटरनेट से जुड़े उपकरणों से जुड़े निरंतर जोखिमों को उजागर करता है। इनमें से कई डिवाइस अपर्याप्त सुरक्षा, पुराने सॉफ़्टवेयर या डिफ़ॉल्ट क्रेडेंशियल्स से ग्रस्त हैं, जिससे वे शोषण के लिए आसान लक्ष्य बन जाते हैं।

हमलावरों का भ्रामक औचित्य

धमकी देने वाले अभिनेता अक्सर दावा करते हैं कि उनके बॉटनेट संचालन केवल परीक्षण या शैक्षिक उद्देश्यों के लिए हैं, शोधकर्ताओं और कानून प्रवर्तन को गुमराह करने का प्रयास करते हैं। हालाँकि, आगे के विश्लेषण से अक्सर उनके असली इरादों का पता चलता है - DDoS सेवाएँ प्रदान करना या भूमिगत मंचों और टेलीग्राम चैनलों में अपनी बॉटनेट गतिविधियों के बारे में खुलेआम शेखी बघारना।