Beastmode botnet

A hírhedt Mirai botnet forráskódja még 2016-ban jelent meg a nyilvánosság számára. A kiberbűnözők nem vesztegették az időt, és elkezdtek visszaélni a kódhoz való újdonságokkal, hogy saját botnet-változatokat hozzanak létre. Még hat évvel később is a Mirait használják új, erős motorháztetők alapjául. Ilyen például a Beastmode botnet, amely még mindig aktív és folyamatos fejlesztés alatt áll.

Valójában az infosec kutatói megfigyelték, hogy a Beastmode frissítette a kihasznált sebezhetőségek arzenálját, hogy immár 5 újat is tartalmazzon. Közülük három – a CVE-2022-26210, CVE-2022-26186, valamint a CVE-2022-25075 és 25084 közötti sebezhetőségek családja – felhasználható a TOTOLINK útválasztók feltörésére. A fenyegetést csak egy héttel a GitHubon való közzététel után adták hozzá. Ezenkívül a botnet több elavult D-LINK terméket is megcéloz a CVE-2021-45382 sérülékenységen keresztül. A TP-Link, a Huwaei, a NETGEAR és a NUUO NVRmimi2, valamint az NVRsolo termékei is a fenyegető Beastemode támadási kampány célpontjai voltak.

A botnet fő funkciója a DDoS (Distributed Denial-of-Service) támadások indítására vonatkozik. Ha hatalmas mennyiségű kérést küldenek egy kiválasztott célpontnak, a kiberbűnözők hosszú időre megzavarhatják áldozatuk normális működését. A felhasználóknak és a szervezeteknek sem szabad késleltetniük eszközeik firmware-ének frissítését. Végül is a Beastmode botnet üzemeltetői bebizonyították, hogy képesek gyorsan beépíteni az új sebezhetőségeket és megszabadulni a véletlen hibáktól. Mindössze három napba telt, hogy eltávolítsanak egy elírást, amelyet a kiberbiztonsági kutatók fedeztek fel az URL-ben – a megfigyelt eszköz által használt „downloadFlile.cgi”-t a „downloadFile.cgi” váltotta fel.