Botnet Mirai_ptea

Una nuova variante basata sulla famigerata Mirai Botnet è stata rilevata come parte di operazioni minacciose attive. Chiamata Mirai_ptea dai ricercatori di malware, la nuova minaccia sfrutta una vulnerabilità nei dispositivi KGUARD DVR. Alcuni dettagli sulla specifica vulnerabilità sono tenuti nascosti ma, in breve, consente agli attori della minaccia di accedere al programma rsSystemServer sul firmware del DVR KGUARD e può quindi ascoltare sulla porta 56*** a 0.0.0.0 per eseguire comandi di sistema arbitrari in remoto , senza la necessità di autenticarsi. Va notato che questo particolare exploit è stato corretto nelle versioni del firmware rilasciate dopo il 2017. Tuttavia, i ricercatori di infosec hanno scoperto circa 3.000 dispositivi vulnerabili che possono essere compromessi da Mirai_ptea. La maggior parte dei dispositivi già violati sembra trovarsi negli Stati Uniti, seguiti da Corea e Brasile.

Capacità minacciose

La Mirai Botnet ha acquisito notorietà nel 2016 e poco dopo, il suo codice sorgente è stato divulgato sui forum degli hacker trasformando efficacemente la minaccia in malware open source. Da allora criminali informatici senza scrupoli hanno creato numerose minacce con una dipendenza variabile dal codice Mirai originale. Per quanto riguarda Mira_ptea, l'analisi del suo codice e delle sue attività mostra che a livello di comportamento dell'host è quasi identico a Mirai. Le principali differenze si trovano nel modo in cui Mirai_ptea gestisce il proprio traffico di rete. In effetti, il suo nome deriva da due di questi: l'uso di un proxy TOR per la comunicazione con il server Command-and-Control (C2, C&C) e la dipendenza da TEA (Tine Encryption Algorithm) per mascherare i dati sensibili delle risorse. La principale funzionalità minacciosa di Mirai_ptea è l'esecuzione di attacchi DDoS (Distributed Denial-of-Service) e la minaccia è stata utilizzata in attacchi attivi contro obiettivi selezionati.